Modèle à remplir : Plan de formation pour sensibiliser les employés DOCX, 107 ko
Les modèles à remplir fournissent des instructions sur les renseignements à consigner aux fins de certification.
Exemple : Plan de formation pour sensibiliser les employés DOCX, 398 ko
Les exemples fournissent un exemple de texte pour aider les personnes apprenantes à remplir un modèle.
[Nom de l'entreprise]
Plan de formation pour sensibiliser les employés
Avis de non-responsabilité
CyberSécuritaire Canada a élaboré ce modèle pour que vous puissiez l'utiliser en relation avec les exigences de certification du contrôle de sécurité Offrir de la formation aux employés pour les sensibiliser. Il fournit des conseils sur la manière dont les informations peuvent être organisées et documentées en vue de la certification. CyberSécuritaire Canada ne garantit pas que l'utilisation de ce modèle mène nécessairement à l'obtention de la certification. Les entreprises ne sont pas forcées d'utiliser ce modèle et peuvent fournir la ou les exigences de certification dans le format documenté qui leur convient le mieux.
Directives pour le modèle
Instructions : L'objectif de ce modèle est d'aider les utilisateurs à répondre aux exigences de certification du contrôle de sécurité Offrir de la Formation aux Employés pour les Sensibiliser pour CyberSécuritaire Canada.
Les directives sont fournies en caractères bleus dans chaque section de ce modèle. Une fois le modèle terminé, supprimer ces directives.
Il est recommandé aux utilisateurs d'examiner le module d'apprentissage en ligne Offrir de la formation aux employés pour les sensibiliser et l'exemple complet de ce plan. Fin des instructions.
Aperçu
Instructions : Votre plan de formation doit comprendre les sections suivantes :
- Les politiques de formation pour sensibiliser les employés.
- Les politiques de sensibilisation des employés décrivent la formation obligatoire, la formation spécifique aux rôles et la fréquence à laquelle la formation doit être suivie.
- Le dossier de formation à la sensibilisation des employés.
- Le dossier de formation à la sensibilisation des employés garde des traces de la formation des employés, du type de formation et de la date à laquelle la formation est prévue ou a été effectuée.
- Aperçu de la formation pour sensibiliser les employés.
- L'aperçu de la formation pour sensibiliser les employés est un exemple de plan pour une activité d'apprentissage. Il comprend du temps pour briser la glace, les sujets précis qui seront couverts dans la formation, et d'autres activités assorties. Ce schéma peut être utilisé pour normaliser la formation au sein d'une entreprise.
- Annexe — Matériel de formation pour la sensibilisation des employés.
- Le matériel de formation des employés sera fourni pendant la formation et il est destiné à favoriser l'apprentissage et la rétention des concepts clés.
Politique de formation pour sensibiliser les employés
Historique des révisions
Instructions : Il est de bonne pratique pour les entreprises de s'assurer que leurs politiques sont révisées et mises à jour régulièrement. Documenter les changements apportés (à quels moments et par qui).Le plan de formation de sensibilisation des employés a été modifié comme suit :| Date | Version | Modification | Modifier |
[Date] | [Version du document] | [Description des changements] | [Nom de l'éditeur] |
Déclarations de politique
Objet et champ d'application
Instructions : Insérer votre déclaration de champ d'application ou utiliser l'exemple fourni. L'objectif de cette politique est de fournir une formation aux employés de [Nom de l'Entreprise] en ce qui concerne ses politiques et ses directives de cybersécurité. Elle englobe la formation programmée, ainsi que la formation obligatoire et la formation spécifique à un rôle en relation avec la formation sur la cybersécurité.
Formation prévue
Instructions : Déterminer la fréquence à laquelle la formation sera effectuée. Une formation est prévue [Fréquence] pour les employés de [Nom de l'Entreprise] sur les politiques, les dispositions et les autres éléments identifiés nécessitant une formation. Un dossier de formation de sensibilisation des employés sera établi, maintenu et mis à jour pour refléter tout changement, mise à jour ou report de formation.
Formation obligatoire
Instructions : Insérer les sujets/domaines dans lesquels le personnel doit suivre une formation obligatoire. Le cas échéant, vous pouvez utiliser l'exemple ci-dessous. Tout le personnel de [Nom de l'Entreprise] doit suivre la formation suivante :
- Créer des mots de passe sûrs et sécuritaires.
- Utiliser Internet et les médias sociaux de manière sécuritaire.
- Utiliser uniquement des logiciels et des applications approuvés sur les dispositifs de travail.
- Comment détecter les liens malveillants et les courriels d'hameçonnage.
Formation dépendante du rôle
Instructions : Identifier les rôles dans votre entreprise ainsi que la formation obligatoire et la fréquence de la formation requise. Tous les membres du personnel de [Nom de l'Entreprise] qui ont les rôles suivants doivent suivre la formation indiquée :
| Rôle | Formation | Fréquence |
Application
Instructions : Identifier qui, dans votre entreprise, sera responsable de l'application et de l'élaboration d'une déclaration d'application. Le cas échéant, vous pouvez utiliser l'exemple ci-dessous. Il est de la responsabilité de [Nom de l'Entreprise] de reconnaître quand une formation obligatoire et dépendante du rôle est nécessaire pour les employés puis de fournir aux employés concernés la formation requise.
Dossier de formation à la sensibilisation des employés
Instructions : Documenter les formations suivies par les employés.
| Rôle | Formation | Sujets | Prévue | Personnel | Terminée | Date d'achèvement : |
Aperçu de la formation pour sensibiliser les employés
Instructions : Créer les grandes lignes de votre plan de formation. Le cas échéant, vous pouvez utiliser l'exemple ci-dessous et le mettre à jour si nécessaire pour votre entreprise.
| Éléments | Temps (min.) | Description | ||
Introduction | 3 min | Accueillir les participants au programme. S'ils ne connaissent pas les lieux, indiquer où se trouvent les toilettes et les sorties de secours. Indiquer aux participants quelle sera la durée du cours et ce qu'ils doivent faire au terme de la formation (p. ex., aller dîner, retourner au travail, etc.). Assurez-vous de prendre les présences. | ||
Exercice pour briser la glace | 5 min | Une activité durant laquelle les participants se présentent les uns aux autres (s'ils ne se connaissent pas déjà). C'est également un bon moment pour mentionner un fait intéressant ou dramatique sur le sujet que vous abordez ce jour-là afin de capter leur attention et de préparer le terrain pour illustrer l'importance du sujet. | ||
Objectifs d'apprentissage | 2 min | Expliquer les objectifs d'apprentissage pour la session, et ce que les participants devraient retenir. Couvrir toutes les politiques pertinentes pour les objectifs d'apprentissage. À tout le moins, le programme de formation doit comprendre les éléments suivants :
| ||
Explication* | 5 min par sujet | Passer en revue le contenu qu'ils devront connaître pour accomplir les prochaines activités avec succès. Ont-ils besoin de comprendre la protection des mots de passe? L'utilisation sécuritaire de l'Internet? Comment détecter les liens et les courriels malveillants? Autant que possible, au lieu de simplement leur fournir l'information, s'appuyer sur ce qu'ils savent déjà en posant des questions. | ||
Activité* | 10 min par sujet | Séparer les participants en petits groupes ou leur demander de travailler individuellement et assigner une activité qui renforce l'information que vous venez de présenter. Les activités suggérées sont :
| ||
Activité de débreffage* | 5 min par sujet | Après que les participants ont terminé l'activité, ils doivent partager leurs résultats avec les autres et comparer leurs résultats. | ||
Discussion de groupe | 10 min | Poser une ou plusieurs questions au groupe afin de susciter une discussion sur le sujet et de renforcer le contenu du cours. | ||
Résumé Conclusion | 5 min | Récapituler ce qu'ils ont appris, leur rappeler les objectifs d'apprentissage qu'ils viennent d'atteindre, les remercier les pour leur temps et les laisser repartir. | ||
Annexe — sujets et aperçu de la formation pour sensibiliser les employés
Instructions : Énumérer les domaines/sujets dans lesquels les employés doivent suivre une formation. Fournir un aperçu pour chaque sujet/domaine. Le cas échéant, vous pouvez utiliser l'exemple ci-dessous.Utilisation d'un mot de passe efficace
- Le fait de s'assurer que tous les dispositifs et les comptes de travail sont protégés par des mots de passe sûrs et efficaces constitue une partie importante de tout programme de cybersécurité, et doit être un élément clé de votre formation.
Utiliser des codes de déverrouillage ou des NIP
- Lorsque possible, utiliser un code de déverrouillage ou un NIP sur un dispositif de travail, ou sur un dispositif personnel avec accès au travail.
Utiliser l'authentification à deux facteurs
- L'authentification à deux facteurs (A2F) est essentielle lorsqu'on traite des renseignements de nature délicate. Les entreprises devraient toujours mettre en place le système A2F lorsque cela est possible et ne pas sauter cette étape. Les employés doivent également être sensibilités à l'A2F et à ses avantages.
Mots de passe
- Une bonne activité pour la formation des employés consiste à inviter les participants à créer un mot de passe impossible à découvrir.
- La création de mots de passe sécurisés consiste également à empêcher que vos mots de passe soient découverts, et à éviter les erreurs courantes de configuration d'un mot de passe.
- Protéger vos mots de passe et vos NIP en évitant de les communiquer à d'autres ou de les noter dans des endroits où ils pourraient être découverts. L'utilisation d'un gestionnaire de mots de passe est une pratique exemplaire.
- Éviter les erreurs courantes comme l'utilisation d'un même mot de passe pour plusieurs sites, ou d'un mot de passe simple et facile à découvrir.
- Les mots de passe complexes devraient comporter au moins 12 caractères, avec des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.
Détection des courriels et des liens malicieux
Courriels frauduleux
- Les courriels frauduleux qui contiennent un maliciel ou des liens malveillants peuvent être subtils, sophistiqués et difficiles à détecter pour une personne qui n'a pas été formée à les reconnaître.
Courriels d'hameçonnage
- Les courriels d'hameçonnage peuvent sembler légitimes, mais ce sont des courriels de masse qui sont envoyés à de nombreux destinataires. Ils contiennent généralement une pièce jointe ou un lien malveillant qui permet aux pirates d'accéder aux identifiants de sécurité, à l'ordinateur, ou au réseau de l'utilisateur lorsqu'il ouvre la pièce jointe ou clique sur le lien.
- Les courriels d'hameçonnage ciblé sont conçus pour cibler des groupes et des personnes ayant des intérêts ou des types d'emplois particuliers.
- Leurs messages semblent être pertinents pour la cible et provenir d'une source crédible, mais ils contiennent des liens qui permettent aux pirates d'accéder à des identifiants, à des ordinateurs ou à des réseaux lorsque la cible clique dessus.
Qu'est-ce qui fait en sorte que l'hameçonnage ciblé est si efficace?
- Les courriels d'hameçonnage ciblé sont efficaces parce qu'ils contiennent généralement des images de marque ou des logos d'entreprises légitimes, et que le texte en objet est pertinent et inspire confiance.
- Le maliciel peut être intégré à des PDF, des images ou d'autres fichiers qui semblent légitimes.
- Informer les employés sur les manières de détecter l'hameçonnage, les liens et les courriels d'hameçonnage ciblés, constitue une partie importante de tout programme de formation pour sensibiliser les employés.
- Pour que vos employés puissent naviguer sur l'Internet en toute sécurité au travail, il est essentiel qu'ils soient capables de faire la distinction entre les liens légitimes et les liens d'hameçonnage.
- Dans un navigateur de bureau ou d'ordinateur portatif, il est possible de voir l'adresse URL d'un lien simplement en survolant le lien sans cliquer dessus. À partir de là, vous devriez être à l'affût des signes qui indiquent que le lien est frauduleux.
- Souvent, les liens frauduleux ne correspondent pas au nom de domaine de l'expéditeur. Par exemple, un courriel prétendant provenir de Microsoft contient un lien avec un nom de domaine du bureau d'un avocat.
- Ils peuvent également contenir des noms de domaines de marques connues, mais comportant des fautes d'orthographe, comme Microsoft avec une lettre o manquante, ou Apple avec un p en trop.
- Les liens frauduleux contiennent souvent des termes additionnels comme www.support.help.apple.com.
- Les courriels d'hameçonnage et d'hameçonnage ciblé ne contiennent pas seulement des liens malveillants. Ils peuvent également contenir des pièces jointes qui, une fois ouvertes, peuvent infecter votre réseau avec des virus, y compris des rançongiciels.
- Le maliciel prend souvent la forme de factures ou de bons de commande et peut sembler provenir d'une source fiable.
- Ne jamais ouvrir une pièce jointe à laquelle vous ne vous attendiez pas. Composer un courriel séparé, et non une réponse, à une adresse connue de l'expéditeur pour demander si la pièce jointe est légitime.
Utilisation de logiciels approuvés
Applications autorisées
- Un bon exercice pour cette leçon consiste à dresser une liste d'applications logicielles et à demander aux participants de déterminer si elles sont autorisées.
- Les entreprises doivent définir des politiques claires pour une utilisation sécuritaire de l'Internet au travail, et doivent communiquer ces politiques aux employés avant que ces derniers ne participent à la formation sur la cybersécurité. Ces politiques peuvent contenir les interdictions suivantes :
- Activités criminelles en ligne.
- Lancer ou propager un maliciel ou des virus.
- Télécharger un logiciel sans autorisation.
- Communiquer des identifiants de sécurité sans autorisation.
- Accéder au Web invisible ou à d'autres sites inappropriés.
- Ces politiques doivent être clairement expliquées dans votre programme de formation, avec des exemples et des études de cas ou des scénarios pour permettre aux employés d'appliquer les connaissances acquises. Vous pouvez en outre montrer différents sites Web et demander s'il est acceptable de les visiter selon la politique de l'entreprise.
Utilisation sécuritaire des médias sociaux
Médias sociaux
- Les médias sociaux constituent une composante importante du marketing pour toute entreprise, mais ils posent des risques particuliers.
- En veillant à former les employés sur la nature de ces risques et la manière de les éviter, vous pourrez prévenir des cyberincidents coûteux et gênants. Pour assurer une utilisation sécuritaire des médias sociaux.
- Appliquer toutes les mesures de sécurité possible aux comptes en plus de sécuriser tous les dispositifs et d'éliminer les comptes inutilisés.
- Faites preuve de discernement en vous basant sur les meilleures pratiques en matière de cybersécurité lorsque vous accédez à des sites ou des comptes inconnus.
- Éviter de partager inutilement des renseignements personnels sur les flux de médias sociaux de l'entreprise.
- Les risques sur les médias sociaux peuvent comprendre les pirates qui obtiennent l'accès à votre profil. Vous pouvez aider à prévenir ces risques en utilisant toutes les fonctionnalités de sécurité offertes pour les ouvertures de session.
- Les médias sociaux peuvent contenir des maliciels cachés sur des liens apparemment innocents. S'assurer que tous les liens sur lesquels vous cliquez proviennent de sources fiables, et que ces sources n'ont pas été récemment piratées.
- La communication des renseignements comme les anniversaires, les noms des enfants ou de vos animaux de compagnie et d'autres détails peuvent faciliter le travail des pirates pour compromettre vos comptes.
- Un bon exercice de formation consiste à demander aux participants de vérifier leurs propres comptes sur les médias sociaux pour voir s'ils sont conformes aux meilleures pratiques.