Pourquoi less stratégies de formation ne fonctionnent pas?
1. Standards, Security, and Audit
À la recherche de comportements cybersécuritaires
Pourquoi les stratégies de
formation ne fonctionnent pas?
2. GENEVIEVE BROUILLETTE
Agente de développement à la formation – ÉTS formation
Spécialiste en développement des compétences depuis + de 15 ans.
Présidente du Réseau des professionnels de la formation au Québec (RPFQ).
514 396-8830
Genevieve.brouillette@etsmtl.ca
www.etsformation.c
a
linkedin.com/in/genevievebrouillette/
450 812-7771
marie-noelle@pardeux.ca
www.pardeux.ca
Marie-Noëlle Godin
MARIE-NOELLE GODIN
Technopédagogue – Pardeux
Spécialiste en formation interactives et jeux sérieux.
Conceptrice de formation en mode traditionnel et en ligne depuis + de 10 ans.
3. Combien d’entre vous avez été
impliqués dans la formation en lien
avec la cybersécurité?
A. Très impliqué
B. Impliqué
C. Peu ou pas impliqué
4. Combien de formations en lien avec la
cybersécurité avez-vous suivi depuis 3 ans?
A. Plusieurs
B. Quelques-unes
C. Aucune
5. Comment évaluez-vous les résultats des
formations données ou reçues?
A. Excellent
B. Bien
C. Peu de résultats
6. Quelques enjeux de sécurité
• Augmentation croissante des incidents
• De plus en plus sophistiqués
• Méthodes plus complexes
• Cibles changent
• On craint de plus en plus les atteintes à la
protection des données
• Ce n’est pas SI mais QUAND l’incident se
produira...
8. Piratage d’eBay en 2014?
(Clients eBay invités à modifier leurs mots de passe)
A. 105 millions
B. 125 millions
C. 135 millions
D. 145 millions
Source : mccarthy.ca 2017
9. Piratage de Yahoo (2014) divulgué en 2016
(accès aux données personnelles des usagers)
A. 50 millions
B. 150 millions
C. 300 millions
D. 500 millions
Source : mccarthy.ca 2017
10. ATTAQUES CIBLÉES ET
MENACES AVANCÉES
15% des entreprises ont expérimenté une
attaque ciblée, dont plus de 53% y ont perdu
des données sensibles.
• Rapport Kaspersky Lab 2015
11. Combien de jours mettent les
organisations financières à détecter
une attaque?
A. 197 jours
B. 98 jours
C. 57 jours
D. 38 jours
Source : Ponemon Institute 2015
12. ATTAQUES CIBLÉES ET
MENACES AVANCÉES
15% des entreprises ont expérimenté une
attaque ciblée, dont plus de 53% y ont perdu
des données sensibles.
• Rapport Kaspersky Lab 2015
● Les organisations financières mettent environ
98 jours pour détecter une attaque.
● Les commerçants mettent jusqu’à 197 jours.
- Ponemon Institute 28 mai 2015
14. Combien de temps l’utilisateur moyen
consacre-t-il à la lecture des conditions
générales avant de cliquer pour les accepter?
A. 6 secondes
B. 10 secondes
C. 26 secondes
D. 56 secondes
Source : ISO.org recherche menée par Consumers International 2016
15. ●Plus de 80% des incidents de sécurité sont le
fruit d’une manipulation ou action
accidentelle, malveillante ou de nature
inconnue à l’usager.
Source : Deloitte, 2016
21. PROFIL #1
Ginette B.
Adjointe administrative
Possède une seule adresse courriel
Connaissances élémentaires de
l’informatique et du monde web
Aime partager des PPT de chats
22. PROFIL #2
Stacy W.
Représentante des ventes
Souvent sur la route
Utilise son ordinateur portable
contenant sa base de données clients
Utilise le Cloud pour les documents
partagés
23. PROFIL #3
Malik S.
Responsable du parc informatique
d’une division d’une grande entreprise
S’occupe des mises à jour
Est seul de son service dans la division
Répond aux questions TI
24. PROFIL #4
Robert D.
Superviseur dans un centre d’appel
Beaucoup d’urgences à gérer en
même temps
Sollicité en service à la clientèle
Possède un seul mot de passe pour
tous ses accès
26. ●Quel est le résultat mesurable attendu?
●Quel sera l’indicateur de succès de ma
formation?
PIÈGE 1 : NE PAS AXER SA FORMATION
SUR LE CHANGEMENT DÉSIRÉ
Non-mesurable Mesurable
Sensibiliser les
employés à la
cybersécurité
Réduire de 50% les
intrusions par
courriel
27. ●Quelles sont les erreurs les plus fréquentes?
●Qu’est-ce que l’apprenant devra savoir FAIRE
au terme de sa formation?
●Que manque-t-il au niveau des
connaissances/compétences pour y arriver?
PIÈGE 1 : NE PAS AXER SA FORMATION
SUR LE CHANGEMENT DÉSIRÉ
28. Les employés
●Ont des niveaux de connaissances du sujet
différents
●Ont des motivations différentes
●Requièrent un niveau de maîtrise différent
selon leur poste
PIÈGE 2 :
NE PAS PERSONNALISER SA FORMATION
29. PROFIL #1
Ginette B.
Besoins :
● Reconnaître les bonnes pratiques
● Identifier les risques
Motivations :
● Ses collègues
● Travail bien fait
Stratégies :
● Vidéo
● Vrai ou Faux, Que feriez-vous?
31. PROFIL #2
Stacy W.
Besoins :
● Reconnaître les bonnes pratiques
● Identifier les risques
Motivations :
● Sa réputation, la confidentialité de
ses données client
● Son efficacité sur le terrain
Stratégies:
● Capsules courtes (microlearning)
● Mobile learning
33. PROFIL #3
Malik S.
Besoins:
● Appliquer les bonnes pratiques
● Vulgariser les procédures
Motivations:
● Sécurité des données de
l’entreprise
● Résolution de problèmes
Stratégies:
● Simulations
● Aides à la tâche
35. PROFIL #4
Robert D.
Besoins :
● Identifier les meilleures pratiques pour
son entreprise
● Prioriser les actions
Motivations :
● Satisfaction clients et employés
● Confidentialité des données client
Stratégies :
● Études de cas
● Guide du formateur
37. PIÈGE 3 : PENSER QUE LA FORMATION
SE LIMITE AU TEMPS PASSÉ EN COURS
Avant:
● Comment la formation est-elle présentée au
personnel?
● Comment communique-t-on aux employés ce
qu’on attend d’eux?
● Comment va-t-on mesurer les résultats?
38. PIÈGE 3 : PENSER QUE LA FORMATION
SE LIMITE AU TEMPS PASSÉ EN COURS
Après:
● Un suivi est-il prévu? À quelle fréquence? Par
qui?
● Le personnel affecté au suivi/coaching est-il
suffisamment formé? A-t-il des outils?
● Quels outils sont laissés aux participants? Seront-
ils utilisés?
● Quel type de soutien est disponible?
39. La formation doit:
● Doit faire partie d’une stratégie globale
● Doit tenir compte des différents facteurs
● Doit être centrée sur les résultats
Pour que les stratégies fonctionnent:
40. STRATÉGIES
Stratégies de formation Modes
● Questions à choix de réponse
● Vrai ou faux
● Remise en ordre
● Associations
● Scénario à embranchements
multiples
● Simulations
● Discussions dirigées
● Jeux sérieux
● Jeux de rôle
● Compétition amicale / Meilleurs
scores
● Études de cas
● Réalisation d’un projet individuel ou
en équipe
● Résolution de problèmes en groupe
● ...
● Classe
● Classe virtuelle
● Parcours mixtes
● E-learning
● Vidéo
● Podcast
● Démonstrations
● Coaching
● Webinaires
● Forum
● Compagnonnage
● Guide imprimé et aides à la tâche
● Groupe de discussion à l’interne
● Communauté de pratique à l’externe
● Conférence
● Lunch’n’learn
● ...
41. POUR ÉVITER LES PIÈGES
Axer sa formation
sur le changement
désiré
Personnaliser sa
formation
Penser la
formation comme
un processus
continu
Quel est le résultat
MESURABLE attendu?
Qu’est-ce que l’apprenant
devra FAIRE au terme de sa
formation?
Quelles connaissances ou
compétences manque-t-il
pour y arriver?
À qui je m’adresse?
Dans quel contexte vont-ils
suivre la formation?
De quel niveau de
compétence ont-ils besoin?
Comment la formation est-
elle présentée au personnel?
Comment va-t-on mesurer
les résultats?
Un suivi est-il prévu? À
quelle fréquence? Par qui?
Le personnel aura-t-il des
outils?