Les ravages se chiffrent en milliards d'euros chaque année, directement… ou non (question de réputation en particulier). Entreprises, particuliers, administrations, candidats aux élections… tous sont touchés, même si tous ne meurent pas ! Ce dont attestent deux récentes attaques mondiales de ransomware, à quelques semaines d'intervalle.

C'est ce qu'il y a de nouveau : l'accélération des attaques ; laquelle requiert des systèmes de contrôle / protection répondant toujours plus rapidement. Dans cette réponse, la formation joue un rôle essentiel : préventif, pour former l'ensemble des utilisateurs aux bonnes pratiques de sécurité (pour éviter les nombreuses attaques dûes à l'imprudence). C'est ce que révèle une toute récente étude menée dans les entreprises américaines ("The Evolution of Security Skills", par la Computing Technology Industry Association, citée par la revue Chief Learning Officer) : un fort besoin de formation pour diminuer l'écart de compétences en matière de sécurité, alors que 21% seulement des entreprises se disent complètement satisfaites de leur niveau de sécurité actuel.

Formation évolutive, aussi, pour coller au plus près des nouvelles formes de hacking, destinée aux responsables sécurité, bien sûr, ainsi qu'aux utilsateurs (dans une forme allégée). Accélération de la formation, mise à jour incessante : on est bien dans le champ du e-learning, car on voit mal comment les autres formats réussiraient à tenir ce rythme infernal ! Bref : qu'un nouveau collaborateur soit utilement formé aux bonnes pratiques de sécurité dans sa période d'intégration, on en convient… Mais il n'y suffit pas ! 

Autre atout du e-learning : sa capacité à former tout le monde. Car l'adage est vérifié : "une chaîne vaut ce que vaut son maillon le plus faible." Traduction : un seul collaborateur imprudent, ou qui n'a pas reçu de formation (les deux vont souvent de pair), suffit à contaminer toute une partie des systèmes de l'entreprise. Former tout le monde, informer immédiatement à l'apparition d'une nouvelle cyber-menace : le e-learning sait faire, si le service formation s'est mis en ordre de bataille pour répondre à ce défi.

Le e-learning permet par ailleurs de personnaliser la formation : si tous les collaborateurs doivent être informés d'un nouveau risque (l'update), la formation aux fondamentaux doit prendre en compte les comportements… en particulier ceux qui sont à risque ! On sait qu'en la matière tout le monde n'est pas logé à la même enseigne. La personnalisation, c'est la possibilité aussi de proposer des niveaux de formation et de validation des acquis (amont ou aval) variés, ou encore de l'interactivité voire de la simulation d'erreurs pour prendre conscience sans dommage des conséquences induites par les comportements à risque. E-learning encore ! ou, pourquoi pas, serious game… sous réserve que sa synchronisation avec l'imagination débridée des hackers soit respectée.

Et puisqu'il est question d'imagination, on ne manquera pas de citer celle de Mastercard, toujours cité par Chief Learning Officer, dont le service formation a simulé une attaque de phishing via courrier électronique, débouchant instantanément sur une formation… des employés ayant cliqué sur des liens suspects ! Résultats annoncés : après cette formation, le nombre des utilisateurs imprudents est chez Mastercard inférieur de 63% à la moyenne des autres entreprises.

Il s'agit au fond de soigner le mal par le mal : les maux du digital (et de la collaboration virtuelle tous azimuts) par le Digital Learning (Social Learning inclus) !

Michel Diaz