Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
janvier 2009 par Guillaume Durand – responsable de département sécurité – Solucom group
Durant ces dernières années, la plupart des grandes entreprises et administrations se sont dotées d’une Politique de Sécurité des Systèmes d’Information, qu’elles s’emploient désormais à décliner et à mettre en œuvre sur le terrain. Dans ce contexte, les campagnes de sensibilisation à la sécurité de l’information constituent un moyen essentiel pour traiter le « facteur humain », étape nécessaire pour garantir une mise en œuvre efficace et complète des exigences de sécurité. La conduite d’une telle campagne est un projet à part entière, qui se déroule classiquement en trois grandes phases.
Tout d’abord, une phase de cadrage, qui permet notamment d’établir le document de référence de la campagne : le plan de sensibilisation. Ce plan formalise les objectifs visés, les populations ciblées, les messages essentiels à leur faire passer, les canaux et médias de sensibilisation envisagés, le séquencement dans le temps des actions de sensibilisation, etc. Il convient d’utiliser des modes de communication diversifiés (format papier, électronique, multimédia, etc.) et adaptés en fonction des populations visées. Les acteurs relais adéquats, chargés de conduire localement les actions, doivent être identifiés et recevoir un appui fort du management pour garantir la réussite de la campagne. Enfin, la campagne doit être orchestrée dans la durée, en prévoyant notamment des « piqûres de rappel » permettant de maintenir dans le temps l’attention des populations visées.
Suit une phase de sélection ou de conception des différents supports et outils de sensibilisation (supports de présentation, plaquettes, affiches, films, outils Intranet, etc.). Cette phase implique généralement de travailler main dans la main avec des acteurs de la communication, internes ou externes à l’entreprise, qui regorgent d’idées pour mettre en place des actions de sensibilisation originales et percutantes : intégration de contenus multimédia, création de visuels attractifs, définition d’une identité commune à travers un slogan ou un logo spécifique, etc.
Enfin la troisième et dernière phase consiste à mettre en œuvre et à suivre dans le temps les actions de sensibilisation.
Dans ce contexte, l’organisation logistique liée à la distribution à large échelle de supports papier (plaquettes, affiches, etc.) ou à l’organisation généralisée de sessions « présentielles » de sensibilisation, ne doit pas être négligée.
Un autre point est essentiel : le suivi de l’efficacité des actions de sensibilisation. Dès les phases amont de la campagne, il convient d’identifier les actions permettant de mesurer le respect des bonnes pratiques fondamentales de sécurité par les différentes populations ciblées par la campagne. Cela passe notamment par la mise en place de différents indicateurs et moyens de contrôle, qu’ils soient techniques (audit de robustesse des mots de passe, inventaire des applications installées sur les postes de travail, etc.), de nature plus fonctionnelle (contrôle des bureaux, audits de type « ingénierie sociale », etc.) ou basé sur des sondages déclaratifs (par exemple la conduite d’un quizz sur Intranet).
L’ensemble de ces actions doit permettre à chaque acteur de l’entreprise de prendre conscience de la valeur des informations, des systèmes d’information, et des risques liés à une mauvaise protection ; et d’adopter les bons reflexes en matière de sécurité. Pour preuve du caractère essentiel d’une telle démarche : la sensibilisation et la formation à la sécurité de l’information font partie des exigences de la norme ISO/IEC27001, référence internationale en matière de sécurité de l’information.
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?