En préambule, Patrick Chambet, RSSI / Responsable du Centre de Sécurité Groupe, C2S Groupe Bouygues, fait le point sur la différence de terminologie entre sensibilisation et formation. A titre de comparaison, on peut assimiler la sensibilisation à la sécurité routière, tandis que la formation, elle, vous apprendra à conduire. C’est la même chose pour Internet et ses risques.

« Au sein de notre structure, nous travaillons beaucoup en la matière avec les Ressources Humaines et le service formation », explique-t-il. « Outre la sensibilisation de base de l’ensemble des collaborateurs à la sécurité, nous avons mis sur pied des formations sur étagère que les salariés peuvent soit choisir librement dans le catalogue de formations, ou qui seront poussées auprès des employés par leurs équipes dirigeantes. Ces formations se veulent à la fois théoriques, mais aussi pratiques, au travers de démonstrations de piratage. A titre d’exemple, la démonstration du piratage d’un PDA s’avère très parlante, notamment pour les VIP. Concernant les décideurs et autres VIP, il est d’ailleurs important de réussir à condenser le message en peu de temps ».

Le RSSI doit trouver les bons leviers pour impliquer les collaborateurs

Plus on est impliqué dans le message, plus on l’applique, remarque-t-il. « On retient 10% de ce qu’on lit, 20% de ce qu’on entend, 30% de ce qu’on voit, 50% de ce qu’on voit ET entend, 80% de ce qu’on dit et 90% de ce qu’on fait ».

Parmi les leviers à privilégier pour faire passer des messages et faire en sorte que les gens adoptent les bonnes pratiques de sécurité, il recommande par exemple d’établir un parallèle entre la vie professionnelle et la vie personnelle. Les salariés se sentent, en effet, beaucoup plus concernés quand on prend des exemples personnels, notamment quand ceux-ci ont un lien avec les enfants. Il est essentiel de trouver des biais pour impliquer les collaborateurs, mais aussi d’éviter de cacher des informations, car tout finira toujours par se savoir, qu’il s’agisse d’une crise ou non. L’actualité peut également s’avérer un facilitateur pour faire passer certains messages, ce fut le cas par exemple avec l’affaire Snowden qui a marqué les esprits. Le fait de s’exprimer dans les médias permet aussi parfois d’activer un levier supplémentaire pour sensibiliser les salariés sur certains risques et les impliquer dans la démarche sécurité.

De son côté, l’équipe de la SNCF s’articule autour de différentes branches qui disposent chacune d’un RSSI et d’une communication spécifique, explique Fabrice Néracoulis, Réseau SSI et programme de sensibilisation, SNCF, les problématiques étant propres à chaque métier. « Notre programme de sensibilisation dispose d’un tronc commun à toutes les branches, auquel on ajoute une partie de communication spécifique à chacune d’entre elles en fonction de l’actualité interne et de l’évolution des technologies. La partie informatique n’est cependant qu’une composante de la sensibilisation, remarque-t-il.

Concernant les différents axes de communication à privilégier, il conseille entre autres d’être concis, de répéter sans cesse le message, de se distinguer, d’utiliser pour cela tous types de supports (calendrier, jeux, campagnes d’affichage, BD, post-IT…), d’être présent partout, que ce soient dans les bureaux des collaborateurs ou les locaux communs, d’organiser des événements dédiés à la sensibilisation... Sur un même sujet, il faut « attaquer » l’utilisateur sous tous les angles et utiliser tous les supports pour le convaincre par tous les moyens. Le parallèle avec la sphère personnelle peut également s’avérer porteur : « si on m’explique comment me mettre en sécurité, ainsi que ma famille..., je vais m’approprier les bonnes habitudes et les prolonger dans l’entreprise ».

On peut effectivement sensibiliser sous l’angle personnel, car l’utilisateur est très bien équipé chez lui aujourd’hui, estime Alain Bouillé, DSSI, Caisse des Dépôts. Toutefois, le parallèle ne se fait pas toujours entre les choses que l’on peut faire au bureau et celles que l’on peut faire chez soi. Il faut donc être vigilant là-dessus.

RH, CIL, service de formation, communication… : des alliés essentiels pour le RSSI

Pour Alain Bouillé, la façon dont les RSSI abordent le sujet de la sensibilisation à la sécurité est très variable. C’est quelque chose qu’ils doivent généralement faire sans trop de moyens, car souvent la quasi-totalité du budget est consacrée aux produits de sécurité. Cependant, cela permet aussi d’être plus créatif dans leur approche de sensibilisation.

Deux alliés s’avèrent, pour lui, essentiels dans cette démarche : les Ressources Humaines et la communication. En matière de sensibilisation, la communication est effectivement un partenaire idéal pour le RSSI, car elle dispose des moyens et des outils que lui n’a pas. Les RH également, car les sessions de sensibilisation nécessitent certaines ressources (temps de travail, coût…) et doivent donc rentrer dans les critères communs de l’entreprise, au même titre que la formation. Toutefois, le RSSI reste mieux placé que personne pour mettre en place les bons vecteurs, au niveau du contenu, car il dispose à la fois du background et d’exemples concrets.

Les actes de sensibilisation sont aussi l’occasion pour le RSSI de se faire connaître au sein de l’entreprise. La confrontation du formateur ou du sensibilisateur en direct avec les utilisateurs est très enrichissante pour remonter les événements, les problèmes métiers, mais aussi pour mettre en exergue les écueils des programmes de sensibilisation. Il est, de plus, important de disposer de bons capteurs dans l’entreprise. Par exemple, les informaticiens qui gèrent l’assistance des VIP en cas de problème représentent un très bon capteur pour le RSSI.

Le Correspondant Informatique et Libertés (CIL) est également un bon capteur d’informations pour une entreprise, d’autant qu’il s’adresse à tous les acteurs de l’entreprise, explique Fabien Grandille, CIL du groupe SCOR. Un CIL est quelqu’un qui va à la fois être en contact avec tous les acteurs de l’entreprise et avec l’extérieur. Il va devoir traiter les problèmes du quotidien, traduire ce que veulent les uns et les autres, mais aussi anticiper les enjeux de demain, les futurs règlements... Il faut, selon lui, utiliser ces compétences et cette sensibilité du CIL, qui est bien placé, pour remonter l’information dans l’entreprise, auprès de la direction, mais aussi des acteurs de la sécurité, du Risk Management...

Le CIL et le RSSI ont besoin l’un de l’autre, souligne Fabien Grandille. Le CIL est un élément de la chaîne de sécurité, notamment dans son contact avec les métiers. Le RSSI a clairement besoin du CIL, et vice et versa. Le CIL et le RSSI sont d’ailleurs liés par une communauté de destins. En effet, si l’informatique néglige la conformité ou le droit de protection des données, si les deux ne coopèrent pas sur ces problématiques, les messages seront difficiles à faire passer. C’est pourquoi il s’avère essentiel d’échanger entre acteurs, de partager, d’arriver à créer une complicité, et surtout de ne pas fonctionner en silos pour que la communication soit fluide et efficiente, conclut-il.