Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Michel Gérard, DG de Conscio Technologies : Pour une approche verticale de la sensibilisation à la sécurité de l’information

juin 2015 par Michel Gérard, Président de Conscio Technologies

Au moment où les décideurs prennent enfin conscience de l’importance vitale pour nos systèmes d’information du développement d’une culture sécurité, il est indispensable de travailler sur une approche verticale de la sensibilisation. La plupart des outils utilisés pour la mise en œuvre de campagnes en ligne, que sont les intranets ou les "learning management systems" ne permettent clairement pas de travailler comme il faut dans l’objectif du développement d’une culture de sécurité numérique. Les intranets n’apportent qu’une information. Les LMS, outils de formation, placent les administrateurs des campagnes et les utilisateurs cibles dans un carcan peu propice à la dynamique nécessaire au succès des campagnes de sensibilisation en ligne.

Une approche verticale de la sensibilisation permet un travail sur les trois aspects de la sensibilisation : sensibilité au sujet, connaissance et compréhension des enjeux et des bonnes pratiques, comportements réellement adoptés. Ce choix est extrêmement important tant pour l’atteinte de ce que doivent être les objectifs d’une campagne de sensibilisation que pour la qualité de mise en œuvre des campagnes dans un contexte étendue et hétérogène.

Ainsi la sensibilisation verticale permet de :

• Gérer les utilisateurs : votre population est forcément hétérogène.
Hétérogène en âge, en sexe, en métier, en culture, en langue... Vous souhaitez donc adapter le message en fonction de votre population et diversifier le contenu de la sensibilisation en fonction de différents profils. Vous voulez également pouvoir mettre en œuvre des rythmes différents de campagnes en fonction de ces profils. Enfin dans un souci d’amélioration permanente vous souhaitez également suivre les statistiques et les résultats des campagnes aussi en fonction de ces profils.

• Gérer la communication avec vos utilisateurs : a priori les salariés de votre entreprise n’attendent pas le lancement de votre prochaine campagne comme celui de la prochaine saison de « Games of Thrones ». Même si, comme c’est le cas de certains de nos clients, vous menez depuis plusieurs années des campagnes fort appréciées, il vous faudra tout de même aller les chercher. Vous ne pouvez vous contenter de mettre à disposition un contenu de référence et ensuite attendre que les collaborateurs viennent par eux même, à moins de vous contenter d’un faible taux de participation. La solution utilisée doit donc vous permettre de lancer des invitations et de programmer des relances, voire de communiquer et de commenter le déroulement de la campagne sur toute sa durée. Vous devez aussi pouvoir différencier les relances en fonction de l’état d’avancement des collaborateurs. Par exemple vous ne direz pas la même chose à quelqu’un qui n’est jamais venu sur la campagne qu’à quelqu’un qui a commencé mais n’a pas terminé. Vous remercierez aussi ceux qui ont terminé.

• Procéder par touche successive et assurer le renforcement : vouloir faire ingurgiter en une seule fois tout un corpus de connaissances et de règles peut s’avérer contre productif. N’oublions pas que les employés d’une entreprise ont déjà quantité de choses à faire et à retenir dans leurs fonctions respectives. L’expérience nous a montré qu’il était bien plus efficace de mettre à disposition des contenus plutôt courts mais de façon répétée. Ainsi on pourra mener d’abord une enquête de maturité afin de déterminer les points faibles puis ensuite mener une campagne sur quelques uns de ces points. On laisse ensuite reposer le sujet pour revenir ensuite en renforçant certaines notions déjà vues et en introduisant de nouvelles. Il s’agit d’une dynamique où l’on procède par petites touches successives. N’oublions pas non plus l’effet de halo qui veut que lorsqu’on parle de certains thèmes de cybersécurité, on sensibilise globalement les salariés au sujet dans son ensemble.

• Gérer les contenus et les personnaliser : Le contenu de la campagne est au coeur du succès de l’opération de sensibilisation. Il est donc important de pouvoir disposer de contenus génériques que l’on peut amender et enrichir en fonction de votre politique de sécurité bien sûr mais aussi en fonction de votre environnement, et des particularités de votre population cible. De même vous pouvez vouloir insérer dans les contenus des médias ou des documents qui vous sont propres. Toujours dans une optique de conserver une dynamique forte et de pouvoir réagir à certaines actualités internes ou externes à l’entreprise, des mises à jours régulières et dynamiques de la campagne peuvent s’avérer nécessaires. L’actualité étant telle sur ces sujets qu’il peut être vraiment nécessaire de réagir au plus vite. Là encore, la solution choisie doit permettre les modifications des contenus proposés et la possibilité de les mettre à jour de façon permanente.

• Gérer la dynamique des campagnes : Connexe aux points précédents, la gestion de vos campagnes intègre la possibilité de les planifier, de préparer et de programmer toutes sortes d’actions concernant le lancement, l’envoi des relances, les mises à jour...

• Apporter une mesure et des statistiques : Développer une culture de la sécurité numérique ne se fait pas en une seule opération. C’est une affaire de longue haleine qui prend plusieurs années. Le jeu en vaut la chandelle, d’après une étude de PWC, les entreprises qui développent cette culture fond une économie de 72% sur le coût des incidents de sécurité. Il est donc important de mesurer l’impact de ce que l’on fait ainsi que le chemin parcouru. Vous devez donc pouvoir mesurer le niveau de maturité de votre population, déterminer les points forts et les points faibles et ainsi dégager les axes de travaux futurs.

• Permettre de créer des espaces de dialogues : encore relativement peu mis en oeuvre, un espace de d’échange autour de ces sujets de sécurité peut être un vrai plus dans le succès des opérations de sensibilisation. Ainsi chacun peut réagir, commenter, questionner sur les thématiques proposées. Là aussi cela améliore la compréhension de ce qui est assimilé, accepté ou des freins et des réticences. De même les collaborateurs peuvent instaurer un dialogue entre eux et se renforcer les uns les autres sur leur niveau de vigilance. La solution choisie devra donc offrir la possibilité de mettre en oeuvre ces espaces de dialogues si on juge pouvoir le faire dans son entreprise.

• Rester dans un budget raisonnable : Cette partie là se passe de commentaires mais il est clair que si la simple mise à disposition d’un seul corpus de sensibilisation monopolise la totalité du budget, l’objectif final ne sera pas atteint.

En conclusion, les derniers incidents de sécurité les plus graves subis par les entreprises dans le monde le démontrent, il est absolument vital de développer une culture de sécurité numérique dans nos organisations. Cette tâche doit être prise très au sérieux dans les entreprises et les objectifs fixés doivent être précis. On ne doit pas se résoudre à une seule obligation de moyens. Les résultats doivent être au rendez-vous. Pour cela il faut en revanche se donner les bons moyens.




Voir les articles précédents

    

Voir les articles suivants