Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »

janvier 2009 par Guillaume Durand – responsable de département sécurité – Solucom group

Durant ces dernières années, la plupart des grandes entreprises et administrations se sont dotées d’une Politique de Sécurité des Systèmes d’Information, qu’elles s’emploient désormais à décliner et à mettre en œuvre sur le terrain. Dans ce contexte, les campagnes de sensibilisation à la sécurité de l’information constituent un moyen essentiel pour traiter le « facteur humain », étape nécessaire pour garantir une mise en œuvre efficace et complète des exigences de sécurité. La conduite d’une telle campagne est un projet à part entière, qui se déroule classiquement en trois grandes phases.

Tout d’abord, une phase de cadrage, qui permet notamment d’établir le document de référence de la campagne : le plan de sensibilisation. Ce plan formalise les objectifs visés, les populations ciblées, les messages essentiels à leur faire passer, les canaux et médias de sensibilisation envisagés, le séquencement dans le temps des actions de sensibilisation, etc. Il convient d’utiliser des modes de communication diversifiés (format papier, électronique, multimédia, etc.) et adaptés en fonction des populations visées. Les acteurs relais adéquats, chargés de conduire localement les actions, doivent être identifiés et recevoir un appui fort du management pour garantir la réussite de la campagne. Enfin, la campagne doit être orchestrée dans la durée, en prévoyant notamment des « piqûres de rappel » permettant de maintenir dans le temps l’attention des populations visées.

Suit une phase de sélection ou de conception des différents supports et outils de sensibilisation (supports de présentation, plaquettes, affiches, films, outils Intranet, etc.). Cette phase implique généralement de travailler main dans la main avec des acteurs de la communication, internes ou externes à l’entreprise, qui regorgent d’idées pour mettre en place des actions de sensibilisation originales et percutantes : intégration de contenus multimédia, création de visuels attractifs, définition d’une identité commune à travers un slogan ou un logo spécifique, etc. Enfin la troisième et dernière phase consiste à mettre en œuvre et à suivre dans le temps les actions de sensibilisation.

Dans ce contexte, l’organisation logistique liée à la distribution à large échelle de supports papier (plaquettes, affiches, etc.) ou à l’organisation généralisée de sessions « présentielles » de sensibilisation, ne doit pas être négligée.

Un autre point est essentiel : le suivi de l’efficacité des actions de sensibilisation. Dès les phases amont de la campagne, il convient d’identifier les actions permettant de mesurer le respect des bonnes pratiques fondamentales de sécurité par les différentes populations ciblées par la campagne. Cela passe notamment par la mise en place de différents indicateurs et moyens de contrôle, qu’ils soient techniques (audit de robustesse des mots de passe, inventaire des applications installées sur les postes de travail, etc.), de nature plus fonctionnelle (contrôle des bureaux, audits de type « ingénierie sociale », etc.) ou basé sur des sondages déclaratifs (par exemple la conduite d’un quizz sur Intranet).

L’ensemble de ces actions doit permettre à chaque acteur de l’entreprise de prendre conscience de la valeur des informations, des systèmes d’information, et des risques liés à une mauvaise protection ; et d’adopter les bons reflexes en matière de sécurité. Pour preuve du caractère essentiel d’une telle démarche : la sensibilisation et la formation à la sécurité de l’information font partie des exigences de la norme ISO/IEC27001, référence internationale en matière de sécurité de l’information.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants