
Formation pour les MSP : quelle fréquence et quel type de formation ?
Selon le rapport L’évolution du marché des MSP 2024 de Barracuda Networks , 38 % des fournisseurs de services gérés (MSP) proposent des programmes de formation de sensibilisation à la sécurité (SAT). Toutefois, les experts estiment que ce pourcentage devrait être beaucoup plus élevé en raison du retour sur investissement (ROI) élevé. Les SAT sont également un bon moyen d’attirer de nouveaux clients. Dans ce même rapport, 24 % des MSP ont déclaré que le SAT était l’un des facteurs d’attraction pour les nouveaux clients.
Selon Keepnet Labs, la formation de sensibilisation à la cybersécurité a permis de réduire de 70 % les risques liés à la sécurité en 2023. Selon CyberPllot, cette formation permet d’économiser en moyenne 149 dollars par an et par employé. La plupart des experts SmarterMSP.com ont déclaré que la formation à la cybersécurité, dispensée régulièrement, est le moyen le plus rentable de prévenir les attaques. La majeure partie d’entre eux s’accordent à dire que la formation doit être intéressante et amusante, et faire des collaborateurs des partenaires et des parties prenantes de la cybersécurité de l’entreprise.
La formation à la cybersécurité, une ligne de défense essentielle
Anthony Haggarty, ingénieur en sécurité pour un MSP, souligne le rôle crucial de la formation à la sécurité. « Les cyberattaques sont en hausse et le coût pour les entreprises augmente. Malheureusement, bon nombre de ces attaques réussissent grâce à une source de risque majeure pour chaque entreprise : ses employés », explique Anthony Haggarty, soulignant que les employés sont un facteur de risque majeur pour les entreprises, de l’ouverture des e-mails au clic sur une pièce jointe, en passant par le transfert de fonds. « Mais c’est un risque qui peut être atténué de manière efficace et abordable grâce à un plan de formation et de sensibilisation à la sécurité. »
Anthony Haggarty souligne qu’il est difficile d’attribuer un montant au retour sur investissement de la formation des employés à la cybersécurité, car il s’agit de mesurer les effets de quelque chose qui ne s’est pas encore produit. Par conséquent, le MSP et ses clients doivent considérer la formation à la cybersécurité comme une police d’assurance qui limite les dommages futurs. « Dans le contexte actuel des menaces, les cyberattaques sont pratiquement inévitables. La formation à la cybersécurité des employés est donc une police d’assurance qui n’est pas facultative. » Il recommande aux MSP d’organiser des formations à la sécurité au moins une fois par trimestre.
Approches de la formation
Jonathan Hansen, PDG d’un MSP basé dans l’État de Washington, souligne également l’importance de la formation. « Nous avons pu constater par nous-même comment la gamification et les normes structurées transforment les employés en première ligne de défense d’une entreprise, réduisant ainsi les risques et renforçant sa posture de sécurité globale. Nous avons également constaté les conséquences malheureuses lorsque les entreprises négligent la formation à la cybersécurité. »
Paige Hanson, experte en informatique, convient que la meilleure formation est la formation continue. « La formation à la cybersécurité ne peut pas être un exercice ponctuel. Elle doit être continue, évolutive et intéressante. » Pour Paige Hanson, la meilleure approche consiste à mélanger les modes de formation tout au long de l’année et à utiliser différentes méthodes pour impliquer les employés. Quelques suggestions et réflexions de Paige Hanson à ce sujet.
- Déjeuners d’apprentissage : ces déjeuners sont excellents parce qu’ils suscitent des discussions.
Formations ciblées : ces programmes sont adaptés au service et au groupe concernés, contrairement à une formation générique, qui peut ne pas être pertinente pour les personnes qui y participent. - Intervenants externes : un intervenant convaincant peut apporter de nouvelles perspectives.
- Exercices de simulation : préparez les équipes aux incidents.
Paige Hanson estime également que les MSP peuvent tirer parti des journées de sensibilisation du secteur. « Ce sont d’excellentes occasions de s’engager ! » Par exemple :
- Semaine nationale de la protection des consommateurs (du 2 au 8 mars)
- Journée mondiale de la sauvegarde des données (31 mars)
- Journée de la gestion de l’identité (8 avril)
- Journée mondiale du mot de passe (1er mai)
- Mois de la sensibilisation à la cybersécurité (octobre)
- Semaine internationale de sensibilisation à la fraude (du 16 au 22 novembre)
Formation continue et engageante en cybersécurité pour les MSP
Mike Estep, vice-président des communautés chez Blackpoint Cyber, un MSP basé à Denver, estime quant à lui que la formation à la cybersécurité devrait être obligatoire pour tous les employés. « La fréquence de mise à jour dépend du type de formation, donc pour les cadres de conformité, elle devrait être annuelle, à moins qu’un cadre ne change et ne nécessite des étapes supplémentaires », déclare-t-il.
Pour les formations portant sur un produit spécifique, comme Microsoft 365, Mike Estep explique que Blackpoint a utilisé la gamification et proposé des cours mis à jour tous les 90 jours. En ce qui concerne la formation aux compétences commerciales, Blackpoint essaie de proposer des mises à jour tous les quatre à six mois. Ce ne sont pas vraiment de nouvelles versions, mais des mises à jour. « Nous proposons à nos clients une formation aux applications dans le cadre de nos services. Nous pensons que si nos clients peuvent mieux utiliser un produit, ils considéreront l’aide à l’optimisation comme un signe de notre excellence en tant que MSP », explique-t-il. Mike Estep ajoute que les cadres de conformité devaient toujours passer par d’autres fournisseurs pour les rapports liés aux audits. « Il en va de même pour des activités telles que la formation de sensibilisation à la sécurité. La formation est importante, mais votre capacité à survivre à un audit est la raison pour laquelle nous aimons les entreprises spécialisées dans les rapports de conformité SAT. »
Face à l’évolution constante du paysage des cyberattaques, il est devenu indispensable de proposer une formation continue, intéressante et personnalisée. Qu’il s’agisse de sessions trimestrielles ou d’apprentissage gamifié, des mises à jour régulières et des méthodes de formation évolutives peuvent permettre aux employés de devenir la première ligne de défense. Les MSP qui donneront la priorité à la formation à la cybersécurité renforceront leur posture de sécurité et assureront leur réussite à long terme, ainsi que celle de leurs clients.
Remarque : l’article a initialement été publié sur SmarterMSP.com.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter