Le Security Awareness Officer est en charge de la sensibilisation des employés d'une entreprise à la cybersécurité. Découvrez tout ce que vous devez savoir sur ce métier de plus en plus recherché : compétences, salaire, formations...
Face aux dangers de cybersécurité, les entreprises doivent impérativement former tous leurs employés. Chaque collaborateur doit être initié aux meilleures pratiques et comportements, car près de 90% des fuites de données sont causées par une erreur humaine.
Le moindre faux pas individuel peut ouvrir une brèche pour les cybercriminels, et les conséquences peuvent être catastrophiques. Chaque maillon de la chaîne doit être sécurisé grâce à un programme de sensibilisation à la sécurité.
Afin d'assurer cette formation généralisée à toute l'organisation, il est nécessaire de s'en remettre à un expert. Tel est le rôle du Security Awareness Officer.
Qu'est-ce qu'une formation Security Awareness Training ?
Une formation de sensibilisation à la sécurité ou Security Awareness Training vise à former les employés pour leur permettre de comprendre leur rôle dans le combat contre les cybermenaces.
Le but est de leur apprendre les principales pratiques de cybersécurité, et les risques associés à chacune de leurs actions. Il s'agit aussi de leur apprendre à identifier les cyberattaques auxquels ils risquent d'être confrontés dans leur boîte mail ou sur le web.
Parmi les principaux risques fréquemment abordés lors des programmes de Security Awareness Training, on compte le phishing (hameçonnage), les mauvais mots de passe, la conformité au RGPD, les menaces internes, les usurpations d'identité et le transfert de données. Toutes ces cybermenaces constituent les principaux vecteurs d'attaque humains, exploités par les criminels via l'ingénierie sociale.
Qu'est-ce qu'un Security Awareness Officer ?
Le Security Awareness Officer est responsable du programme d'éducation et de sensibilisation à la cybersécurité. Son rôle est de s'assurer que tous les employés, collaborateurs, cadres et sous-traitants comprennent et respectent les règles de sécurité et se comporte de manière sécurisée. Le but est de réduire les risques de cybersécurité pour l'organisation.
Contrairement à d'autres métiers de la cybersécurité, comme le testeur d'intrusion ou l'analyste SOC, ce rôle est relativement nouveau. Par conséquent, il n'est pas encore défini avec précision.
Jadis, la mission du Security Awareness Officer était focalisée sur la mise en conformité aux règles internes et aux lois telles que le RGPD. Aujourd'hui, sa priorité est la gestion du risque humain.
Pour cause, la cybersécurité ne peut plus reposer sur une approche purement technique. Selon le rapport VZ DBIR, 85% des fuites de données sont causées par une erreur humaine.
L'objectif d'un programme de Security Awareness est de gérer le risque humain en changeant le comportement à l'échelle de l'organisation. Toutefois, les programmes les plus avancés vont encore plus loin et mesurent l'impact de ce changement grâce à un framework.
Quelles sont les compétences du Security Awareness Officer ?
Le Security Awareness Officer doit avant tout collaborer avec l'équipe de cybersécurité pour comprendre et prioriser les principaux risques humains menaçant l'organisation. Cette priorisation permet d'éviter de surmener les employés avec un excès de tâches, d'exigences, de processus et de responsabilités.
Sa principale mission est de contacter les employés, de communiquer avec eux et de les engager. Après avoir identifié les principaux comportements à risque, il est nécessaire de former les collaborateurs à abandonner ces comportements et à adopter les meilleures pratiques.
Cette tâche requiert souvent une collaboration avec les départements de marketing, de communication ou de ressources humaines. Un Security Awareness Officer doit donc être doué d'un talent pour la communication et le travail d'équipe.
Enfin, le Security Awareness Officer mesure l'impact de son programme et le communique aux dirigeants de l'entreprise. Il existe différentes métriques permettant d'évaluer le comportement, la culture, la connaissance et la stratégie au sein de l'organisation. Le but est d'aligner le programme de sensibilisation à la sécurité avec les priorités stratégiques des décideurs.
Une expertise de plus en plus recherchée
Au cours des dernières années, l'intérêt des entreprises pour la sensibilisation à la cybersécurité a fortement augmenté. Par conséquent, le métier de Security Awareness Officer est très demandé.
De nombreuses entreprises publient des offres d'emploi, car la cybersécurité est devenue une priorité dans tous les secteurs. La formation des employés est cruciale, et va continuer à gagner de l'importance dans le futur. En moyenne, un Security Awareness Officer gagne 86 000 par an aux États-Unis selon Glassdoor.