En informant les employés et les gestionnaires sur les questions et les enjeux pertinents en matière de sécurité de l'information et en les motivant à réfléchir et à se comporter de façon sécuritaire, CARP aidera à établir une culture de sécurité généralisée, durable et bien enracinée. Le bon comportement profitera à l'entreprise en termes de : - Amélioration de la conformité - Diminution des risques liés à la sécurité de l'information - Augmentation de la confiance - Optimisation des effets et des avantages du contrôle des autres dispositifs de sécurité de l'information - Minimisation du nombre et de la gravité des incidents - Réduction du budget et des coûts liés à la sécurité de l'information - Diligence raisonnable - Confiance des partenaires
Domaine D'application
Les entreprises ont des actifs, des données et des appareils. Ils gèrent les opérations et les applications, les bases de données et les réseaux. Ils ont des partenaires et des sous-traitants, communiquent avec leurs clients et s'ouvrent sur le monde extérieur (Internet). La plupart du temps, les employés respectent les règles, les politiques et les règlements de sécurité, mais ce sont des êtres humains. Ils font des erreurs, trichent ou sont trompés. C’est pourquoi, ils constituent le maillon le plus faible de la chaîne de la Sécurité de l'Information. Les entreprises investissent des millions de dollars dans des composants, applications et dispositifs de cyber-sécurité tels que les pare-feu, antivirus, IPS et IDS, SIEMs, et autres protections. Cependant, tous ces efforts sont vains et insignifiants, si un incident peut encore se produire en raison d'actions accidentelles, délibérées ou d'inaction de personnes de l'intérieur.
Objectifs Specifiques
Un programme de communication interne continu et régulier sur la sensibilisation à la
sécurité de l'information
Des séances d'apprentissage sur les concepts de cyber-sécurité.
L'envoi régulier de courriels de sensibilisation portant sur différents sujets liés à la cyber-sécurité.
La préparation de cours obligatoires sur la sécurité de l'information sur les attaques, les menaces, les vulnérabilités et les exploitations.
L'organisation de séminaires de sensibilisation à la sécurité de l'information avec des sessions en direct.
Objectifs du programme
C’est un programme de sensibilisation à la sécurité de l'information qui répond à une vieille préoccupation dans le secteur. Le problème ne sera pas entièrement résolu mais la sensibilisation à la sécurité de l'information permettra d'accroître la connaissance et la compréhension des défis, des objectifs et des concepts liés à la sécurité de l'information. Ce programme vise à développer et à accroître le soutien et l'engagement des employés vis-à-vis des règles et à les motiver à participer et à améliorer la sécurité. Moins d'erreurs et plus de conscience donneront de meilleurs résultats par rapport aux autres mesures de contrôle, satisferont les exigences de conformité et réduiront les risques. Un investissement proactif et mineur en temps de paix et de prospérité est toujours recommandé, à l'inverse d'une Gestion des réponses aux incidents coûteux et d'une tentative de contrôle des dommages dans un contexte de tension et d'échec. La sensibilisation à la sécurité n'est pas une fin en soi, mais un grand pas vers l'objectif ultime qui est de réduire les risques et les coûts, d'accroître l'assurance et favoriser le succès.
Conclusion
Le monde en général, et la sécurité de l'information en particulier, évoluent rapidement. Des technologies très sophistiquées comme l'intelligence artificielle, l'apprentissage machine, l'application de collecte de données et l'automatisation prennent de plus en plus le relais et, avec elles, de nouveaux risques et failles. Nous croyons que la toute première ligne de défense devrait être la sécurisation et l'optimisation de l'intervention humaine dans le processus, afin de minimiser les erreurs, les écarts et les fautes. Il est absolument nécessaire que les employés et le personnel soient conscients de la complexité de l'environnement et respectent les règles, les règlements et les procédures optimums. Ce programme renforcera le maillon le plus faible de l'infrastructure de sécurité des organisations, en créant une culture de sécurité profondément enracinée. Le programme accueillera et intégrera toute nouvelle référence ou tout nouveau support d’actualité, ou en cours de réalisation.
