La formation en cybersécurité permet aux organisations de sensibiliser leurs employés aux meilleures pratiques en matière de sécurité de l’information. La formation et la sensibilisation des employés est un domaine critique et négligé de la cybersécurité. En effet, environ 19% des entreprises canadiennes ont fourni une formation officielle pour développer ou améliorer leurs compétences liées à la cybersécurité, et un peu plus de la moitié (51%) d’entre elles ont communiqué des pratiques générales de cybersécurité par courriel, babillards électroniques ou par des séances d’information avec leurs employés. Cependant, la formation à la cybersécurité est souvent considérée par les employés comme une autre tâche portant atteinte à leur productivité, et les organisations s’efforcent peu d’évaluer les bénéfices de la formation sur les employés.
De nombreuses sessions de formation sur la cybersécurité ne sont pas efficaces car elles sont perçues comme ennuyeuses et manquent d’interaction et d’implication des utilisateurs. Cependant, une approche plus interactive de la formation s’est avérée plus efficace. La formation en ligne est devenue un moyen de formation populaire dans les organisations, avec diverses façons de dispenser une formation en ligne sur la cybersécurité, y compris des options pour définir différents niveaux de contrôle pour l’apprenant.
Le contrôle de l’apprenant fait référence à l’autonomie accordée à l’apprenant dans le contrôle de la séquence, du contenu et des événements de l’enseignement. Le contrôle de l’apprenant peut avoir à la fois des avantages et des inconvénients dans le contexte de la formation en cybersécurité. En effet, certains employés peuvent ne pas voir la sécurité de l’information comme faisant partie de leur fonction et manquent de motivation pour en apprendre davantage sur les meilleures pratiques en matière de sécurité de l’information. De plus, une formation contrôlée par l’apprenant pourrait faire en sorte que les apprenants sautent le contenu plus rapidement, ou parce qu’ils surestiment leurs compétences. Par contre, les employés pourraient utiliser la flexibilité de la formation contrôlée par l’apprenant à leur avantage en gérant efficacement leur temps en se concentrant sur les sujets dont ils ont besoin d’apprendre.
Il est important pour les organisations non seulement de fournir une formation en cybersécurité à leurs employés, mais également d’évaluer l’efficacité du programme de formation. La méthode d’évaluation de la formation de Kirkpatrick consiste à examiner l’efficacité de la formation dans les environnements de travail en utilisant quatre niveaux d’évaluation: les réactions, l’apprentissage, le comportement et les résultats. Dans cet article, Sherly Abraham et InduShobha Chengalur-Smith se sont concentrés sur deux de ces éléments d’évaluation: les réactions à la formation et les résultats d’apprentissage de la formation. La composante de réaction mesure les réactions des apprenants quant à la formation immédiatement après. La composante d’apprentissage évalue l’apprentissage réel acquis à la suite de la formation.
Les auteurs ont développé deux programmes de formation sur la cybersécurité sur le Web, un qui incorporait des fonctionnalités de contrôles par l’apprenant et un autre sans.
Le résultat de l’expérience a montré que la formation contrôlée par l’apprenant a un effet positif sur la satisfaction, la performance de la formation et l’auto-efficacité. Une formation en cybersécurité contrôlée par l’apprenant pourrait rendre les employés plus confiants dans leurs capacités à prévenir une menace, ce qui les rendrait moins sensibles aux menaces. En ce qui concerne le maintien de la formation en sécurité, les résultats de l’étude ont montré que la formation avec contrôle de l’apprenant a fourni des niveaux plus élevés que les participants à la formation sans contrôle de l’apprenant.
Alors que les menaces de cybersécurité continuent d’évoluer, les organisations doivent s’assurer que les employés reçoivent une formation adéquate pour accroître la sensibilisation et les connaissances sur les cybermenaces. En tant que tels, les programmes de formation en cybersécurité doivent être conçus pour maintenir les employés motivés et engagés à suivre la formation.