Contrôle 14 — Sensibilisation et formation à la cybersécurité
Former les employés à reconnaître et à éviter les menaces de cybersécurité. La technologie seule ne suffit pas — les employés bien formés sont la dernière ligne de défense contre le phishing et l'ingénierie sociale.
Pourquoi ce contrôle est critique ?
La sensibilisation n'est pas un événement annuel — c'est un programme continu. Les simulations de phishing, les micro-formations mensuelles et les rappels contextuels maintiennent le niveau d'alerte. Les employés doivent savoir non seulement reconnaître les menaces, mais aussi comment les signaler.
Procédures & outils recommandés
Commencer par une formation annuelle obligatoire couvrant le phishing, les mots de passe, les sauvegardes et le signalement d'incident. Ajouter des simulations de phishing trimestrielles. Les outils comme KnowBe4 Free ou Cofense permettent de mesurer l'efficacité du programme.
- KnowBe4 Free — simulations de phishing et formations gratuites
- Proofpoint Security Awareness — plateformes de formation
- ObjectifCyber — formation complète en français pour PME québécoises
- CISA Free Resources — ressources gouvernementales gratuites
- Cofense PhishMe — simulations phishing pour équipes
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 14.1 | Établir et tenir à jour un programme de sensibilisation à la sécurité couvrant les menaces actuelles. | IG1 | Utilisateurs |
| 14.2 | Former tous les employés à la sécurité au minimum une fois par an. | IG1 | Utilisateurs |
| 14.3 | Former les employés à reconnaître et signaler les tentatives de phishing. | IG1 | Utilisateurs |
| 14.4 | Former les employés ayant accès à des données sensibles sur les risques spécifiques. | IG2 | Données |
| 14.5 | Former les développeurs aux pratiques de développement sécurisé (OWASP). | IG2 | Applications |
| 14.6 | Former les équipes IT et sécurité sur les techniques d'attaque et de défense avancées. | IG2 | Utilisateurs |
| 14.7 | Effectuer des exercices pratiques de phishing simulé pour évaluer et améliorer la vigilance. | IG2 | Utilisateurs |
| 14.8 | Établir des métriques de suivi du programme de sensibilisation (taux de clic, signalements). | IG2 | Utilisateurs |
| 14.9 | Adapter le contenu de formation selon les résultats des simulations et les incidents récents. | IG2 | Utilisateurs |
Application pour les PME québécoises
Formation prioritaire IG1 : une session annuelle de 2h couvrant le phishing, les mots de passe, les sauvegardes et le signalement d'incident. ObjectifCyber offre une formation complète en français adaptée aux PME québécoises. Les simulations de phishing trimestrielles (KnowBe4 Free) mesurent l'efficacité.
Quiz de validation — 5 questions
1. Quel % des brèches implique un facteur humain (Verizon DBIR 2024) ?
2. À quelle fréquence minimum les employés doivent-ils être formés (Safeguard 14.2) ?
3. Qu'est-ce qu'une simulation de phishing ?
4. Quel outil offre des simulations de phishing gratuites ?
5. Combien de Safeguards IG1 contient le Contrôle 14 ?
Voir aussi