Cette conférence a été animée par Geneviève Brouillette et Marie-Noëlle Godin lors de la conférence PECB Insights 2017

1. Standards, Security, and Audit
À la recherche de comportements cybersécuritaires
Pourquoi les stratégies de
formation ne fonctionnent pas?

2. GENEVIEVE BROUILLETTE
Agente de développement à la formation – ÉTS formation
Spécialiste en développement des compétences depuis + de 15 ans.
Présidente du Réseau des professionnels de la formation au Québec (RPFQ).
514 396-8830
Genevieve.brouillette@etsmtl.ca
www.etsformation.c
a
linkedin.com/in/genevievebrouillette/
450 812-7771
marie-noelle@pardeux.ca
www.pardeux.ca
Marie-Noëlle Godin
MARIE-NOELLE GODIN
Technopédagogue – Pardeux
Spécialiste en formation interactives et jeux sérieux.
Conceptrice de formation en mode traditionnel et en ligne depuis + de 10 ans.

3. Combien d’entre vous avez été
impliqués dans la formation en lien
avec la cybersécurité?
A. Très impliqué
B. Impliqué
C. Peu ou pas impliqué

4. Combien de formations en lien avec la
cybersécurité avez-vous suivi depuis 3 ans?
A. Plusieurs
B. Quelques-unes
C. Aucune

5. Comment évaluez-vous les résultats des
formations données ou reçues?
A. Excellent
B. Bien
C. Peu de résultats

6. Quelques enjeux de sécurité
• Augmentation croissante des incidents
• De plus en plus sophistiqués
• Méthodes plus complexes
• Cibles changent
• On craint de plus en plus les atteintes à la
protection des données
• Ce n’est pas SI mais QUAND l’incident se
produira...

7. MÉGA-INCIDENTS RÉCENTS
• Combien de personnes ont été
touchés par les incidents
suivants?

8. Piratage d’eBay en 2014?
(Clients eBay invités à modifier leurs mots de passe)
A. 105 millions
B. 125 millions
C. 135 millions
D. 145 millions
Source : mccarthy.ca 2017

9. Piratage de Yahoo (2014) divulgué en 2016
(accès aux données personnelles des usagers)
A. 50 millions
B. 150 millions
C. 300 millions
D. 500 millions
Source : mccarthy.ca 2017

10. ATTAQUES CIBLÉES ET
MENACES AVANCÉES
15% des entreprises ont expérimenté une
attaque ciblée, dont plus de 53% y ont perdu
des données sensibles.
• Rapport Kaspersky Lab 2015

11. Combien de jours mettent les
organisations financières à détecter
une attaque?
A. 197 jours
B. 98 jours
C. 57 jours
D. 38 jours
Source : Ponemon Institute 2015

12. ATTAQUES CIBLÉES ET
MENACES AVANCÉES
15% des entreprises ont expérimenté une
attaque ciblée, dont plus de 53% y ont perdu
des données sensibles.
• Rapport Kaspersky Lab 2015
● Les organisations financières mettent environ
98 jours pour détecter une attaque.
● Les commerçants mettent jusqu’à 197 jours.
- Ponemon Institute 28 mai 2015

13. Crédit photo : SilverEco.fr

14. Combien de temps l’utilisateur moyen
consacre-t-il à la lecture des conditions
générales avant de cliquer pour les accepter?
A. 6 secondes
B. 10 secondes
C. 26 secondes
D. 56 secondes
Source : ISO.org recherche menée par Consumers International 2016

15. ●Plus de 80% des incidents de sécurité sont le
fruit d’une manipulation ou action
accidentelle, malveillante ou de nature
inconnue à l’usager.
Source : Deloitte, 2016

16. 01010101010100010101010100000101010001010100010100001010000010100001000100001000010000
101011000000111111110101100000100101101010101010100010101010100000101010001010100010
11001100001010000010100001000100001000010000101011000000111111110101100000100101101010
10101010001010101010000010101000101010001010000101000001010000100010000100001000010101
10000001111111101011000001001011010101010101000101010101000001010100010101000101000010
10000010100001000100001000010000101011000000111111110101100000100101101010101010100010
10101010000010101000101010001010000101000001010000100010000100001000010101100000011111
11101011000001001011010101010101000101010101000001010100010101000101000010100000101000
01000100001000010000101011000000111111110101100000100101101010101010100010101010100000
10101000101010001010000101000001010000100010000100001000010101100000011111111010110000
01001011010101010101000101010101000001010100010101000101000010100000101000010001000010
00010000101011000000111111110101100000100101101010101010100010101010100000101010001010
10001010000101000001010000100010000100001000010101100000011111111010110000010010110101
01010101000101010101000001010100010101000101000010100000101000010001000010000100001010
11000000111111110101100000100101101010101010100010101010100000101010001010100010100001
01000001010000100010000100001000010101100000011111111010110000010010110101010101010001
01010101000001010100010101000101000010100000101000010001000010000100001010110000001111
11110101100000100101101010101010100010101010100000101010001010100010100001010000010100
00100010000100001000010101100000011111111010110000010010110101010101010001010101010000
01010100010101000101000010100000101000010001000010000100001010110000001111111101011000
00100101101010101010100010101010100000101010001010100010100001010000010100001000100001
00001000010101100000011111111010110000010010110101010101010001010101010000010101000101
01000101000010100000101000010001000010000100001010110000001111111101011000001001011010
10101010100010101010100000101010001010100010100001010000010100001000100001000010000101
01100000011111111010110000010010110101010101010001010101010000010101000101010001010000
10100000101000010001000010000100001010110000001111111101011000001001011010101010101000
10101010100000101010001010100010100001010000010100001000100001000010000101011000000111
11111010110000010010110101010101010001010101010000010101000101010001010000101000001010
00010001000010000100001010110000001111111101011000001001011010101010101000101010101000
001010100010101000101000010100000101000010001000010000100
Qui dit données dit
possibilité de perte de données.

17. Gartner, Nexus of Forces (2014)
OPEN
DATA
BIG
DATA
INDUSTRIE
4.0
IoT

18. Crédit photo : Hurricane Labs

19. POURQUOI LES STRATÉGIES DE
FORMATION NE FONCTIONNENT PAS?
D’après le modèle d’apprentissage social de Bandura, 1997
Caractéristiques
personnelles
● Connaissances
● Interprétations
● attentes
● attitudes
Facteurs
environnementaux
● Structurel
● culturels
● matériels
● socio-économiques
Détermine
comportement
humain
Facteurs
comportementaux
● habiletés
● compétences
● pratiques
● auto-efficacité

20. RECHERCHÉS
COMPORTEMENTS CYBERSÉCURITAIRES EXEMPLAIRES

21. PROFIL #1
Ginette B.
Adjointe administrative
Possède une seule adresse courriel
Connaissances élémentaires de
l’informatique et du monde web
Aime partager des PPT de chats

22. PROFIL #2
Stacy W.
Représentante des ventes
Souvent sur la route
Utilise son ordinateur portable
contenant sa base de données clients
Utilise le Cloud pour les documents
partagés

23. PROFIL #3
Malik S.
Responsable du parc informatique
d’une division d’une grande entreprise
S’occupe des mises à jour
Est seul de son service dans la division
Répond aux questions TI

24. PROFIL #4
Robert D.
Superviseur dans un centre d’appel
Beaucoup d’urgences à gérer en
même temps
Sollicité en service à la clientèle
Possède un seul mot de passe pour
tous ses accès

25. TROIS PIÈGES À ÉVITER

26. ●Quel est le résultat mesurable attendu?
●Quel sera l’indicateur de succès de ma
formation?
PIÈGE 1 : NE PAS AXER SA FORMATION
SUR LE CHANGEMENT DÉSIRÉ
Non-mesurable Mesurable
Sensibiliser les
employés à la
cybersécurité
Réduire de 50% les
intrusions par
courriel

27. ●Quelles sont les erreurs les plus fréquentes?
●Qu’est-ce que l’apprenant devra savoir FAIRE
au terme de sa formation?
●Que manque-t-il au niveau des
connaissances/compétences pour y arriver?
PIÈGE 1 : NE PAS AXER SA FORMATION
SUR LE CHANGEMENT DÉSIRÉ

28. Les employés
●Ont des niveaux de connaissances du sujet
différents
●Ont des motivations différentes
●Requièrent un niveau de maîtrise différent
selon leur poste
PIÈGE 2 :
NE PAS PERSONNALISER SA FORMATION

29. PROFIL #1
Ginette B.
Besoins :
● Reconnaître les bonnes pratiques
● Identifier les risques
Motivations :
● Ses collègues
● Travail bien fait
Stratégies :
● Vidéo
● Vrai ou Faux, Que feriez-vous?

30. Exemple de stratégie

31. PROFIL #2
Stacy W.
Besoins :
● Reconnaître les bonnes pratiques
● Identifier les risques
Motivations :
● Sa réputation, la confidentialité de
ses données client
● Son efficacité sur le terrain
Stratégies:
● Capsules courtes (microlearning)
● Mobile learning

32. Exemple de stratégie

33. PROFIL #3
Malik S.
Besoins:
● Appliquer les bonnes pratiques
● Vulgariser les procédures
Motivations:
● Sécurité des données de
l’entreprise
● Résolution de problèmes
Stratégies:
● Simulations
● Aides à la tâche

34. Exemple de stratégie

35. PROFIL #4
Robert D.
Besoins :
● Identifier les meilleures pratiques pour
son entreprise
● Prioriser les actions
Motivations :
● Satisfaction clients et employés
● Confidentialité des données client
Stratégies :
● Études de cas
● Guide du formateur

36. Exemple de stratégie

37. PIÈGE 3 : PENSER QUE LA FORMATION
SE LIMITE AU TEMPS PASSÉ EN COURS
Avant:
● Comment la formation est-elle présentée au
personnel?
● Comment communique-t-on aux employés ce
qu’on attend d’eux?
● Comment va-t-on mesurer les résultats?

38. PIÈGE 3 : PENSER QUE LA FORMATION
SE LIMITE AU TEMPS PASSÉ EN COURS
Après:
● Un suivi est-il prévu? À quelle fréquence? Par
qui?
● Le personnel affecté au suivi/coaching est-il
suffisamment formé? A-t-il des outils?
● Quels outils sont laissés aux participants? Seront-
ils utilisés?
● Quel type de soutien est disponible?

39. La formation doit:
● Doit faire partie d’une stratégie globale
● Doit tenir compte des différents facteurs
● Doit être centrée sur les résultats
Pour que les stratégies fonctionnent:

40. STRATÉGIES
Stratégies de formation Modes
● Questions à choix de réponse
● Vrai ou faux
● Remise en ordre
● Associations
● Scénario à embranchements
multiples
● Simulations
● Discussions dirigées
● Jeux sérieux
● Jeux de rôle
● Compétition amicale / Meilleurs
scores
● Études de cas
● Réalisation d’un projet individuel ou
en équipe
● Résolution de problèmes en groupe
● ...
● Classe
● Classe virtuelle
● Parcours mixtes
● E-learning
● Vidéo
● Podcast
● Démonstrations
● Coaching
● Webinaires
● Forum
● Compagnonnage
● Guide imprimé et aides à la tâche
● Groupe de discussion à l’interne
● Communauté de pratique à l’externe
● Conférence
● Lunch’n’learn
● ...

41. POUR ÉVITER LES PIÈGES
Axer sa formation
sur le changement
désiré
Personnaliser sa
formation
Penser la
formation comme
un processus
continu
Quel est le résultat
MESURABLE attendu?
Qu’est-ce que l’apprenant
devra FAIRE au terme de sa
formation?
Quelles connaissances ou
compétences manque-t-il
pour y arriver?
À qui je m’adresse?
Dans quel contexte vont-ils
suivre la formation?
De quel niveau de
compétence ont-ils besoin?
Comment la formation est-
elle présentée au personnel?
Comment va-t-on mesurer
les résultats?
Un suivi est-il prévu? À
quelle fréquence? Par qui?
Le personnel aura-t-il des
outils?

42. Références
https://www.iso.org/fr/news/2016/09/Ref2113.html
https://www2.deloitte.com/ca/fr/pages/risk/articles/les-preoccupations-liees-a-la-cybersecurite-continuent-
de-croitre.html
http://www.mccarthy.ca/marcomm/cybersecurity/PDF/McT_cybersecurity_fr.pdf
http://www.roiinstitute.net/wp-content/uploads/2014/12/Eleven-Reasons-Why-Training-and-Development-
Fails.pdf
https://www.learningsolutionsmag.com/articles/1925/eight-tips-for-more-effective-elearning-albert-
banduras-social-learning-theory
https://www.trainingindustry.com/blog/blog-entries/how-to-apply-social-learning-theory-for-effective-
elearning.aspx
https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-
online-lessons-last-weeks-cyberattack/#sm.0001grm6uqai8coxrsf2dkzurndrl
https://fr.slideshare.net/symantec/livre-blanc-la-cyberrsilience-une-nouvelle-vision-sur-la-scurit
https://www.cairn.info/revue-savoirs-2004-5-page-9.htm

43. MERCI
?
514 396-8830
Genevieve.brouillette@etsmtl.ca
www.etsformation.c
a
linkedin.com/in/genevievebrouillette/
450 640-0058
marie-noelle@pardeux.ca
www.pardeux.ca
Marie-Noëlle Godin