POURQUOI IL FAUT FAIRE DE LA SENSIBILISATION cyber
Le guide d’hygiène informatique de l’ANSSI rappelle à quel point sensibiliser contribue à la mise en place et au maintien d’un bon niveau de sécurité :
« Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. À ce titre et dès son arrivée dans l’entité, il doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de sensibilisation et de formation. »
Cette sensibilisation aux règles de base s’avère d’autant plus essentielle que les pratiques évoluent dans le sens d’une plus grande exposition des entreprises aux menaces en tous genres (source : étude MIPS du CLUSIF édition 2020) :
- 36 % des entreprises autorisent l’accès au SI depuis l’extérieur à partir de postes non maîtrisés (cybercafé, postes personnels) ;
- 70 % autorisent l’accès des collaborateurs via des tablettes ou smartphones personnels (BYOD) ;
- 71 % admettent utiliser des messageries instantanées externes (Skype, Messenger…) ;
- 70 % autorisent l’utilisation des réseaux sociaux externes (Facebook, LinkedIn…).
Les salariés de n’importe quelle entreprise sont donc tous susceptibles, par inadvertance ou méconnaissance, de générer des vulnérabilités, avec une liste infinie de mauvaises pratiques :
- mots de passe trop simples ou notés sur un papier ;
- divulgation d’informations sensibles sur les réseaux sociaux ;
- usage d’un PC portable sans écran de confidentialité lors d’un déplacement en train…
POURQUOI IL EST COMPLIQUÉ DE SENSIBILISER AU RISQUE CYBER
La première raison est organisationnelle. Puisque le métier de RSSI est transverse, les programmes de sensibilisation à la cybersécurité ne sauraient occuper tout son temps de travail. Si on en croit l’édition 2020 de l’étude « Menaces informatiques et pratiques de sécurité en France » du CLUSIF, cette mission ne représenterait que 14 % du quotidien du RSSI.
Le RSSI est donc confronté à une problématique de temps, à laquelle s’ajoutent parfois des contraintes budgétaires. Mais au-delà de ces considérations, le vrai challenge du RSSI en matière de sensibilisation consiste à composer avec le facteur humain.
- L’attitude des collaborateurs
Il y a ceux qui croient déjà tout savoir, ceux qui ne se sentent pas concernés par la cybersécurité, et même ceux qui refusent, par réticence au changement, de suivre les consignes… face à la variété de ces comportements et l’agacement qu’ils peuvent générer, pas toujours facile pour le RSSI de garder son calme et sa motivation !
- La posture du RSSI
Sensibiliser revient à mettre en place une campagne publicitaire : il faut savoir identifier ses cibles, trouver le bon discours pour chacune d’elles, puis choisir les bons canaux. Or, les RSSI présentent encore majoritairement un profil technique, raison pour laquelle ils peuvent se trouver confrontés à leurs propres difficultés personnelles (timidité, doutes sur leur potentiel créatif, etc.).
En tant que RSSI, comment structurer sa sensibilisation cyber ?
La sensibilisation cyber, comme beaucoup de projets présentant une dimension de conduite du changement, est une affaire de petits pas, mais aussi d’efficacité : quels que soient l’organisation mise en place et les budgets alloués, elle ne fonctionne que si les utilisateurs se sentent concernés et responsables ! Pour ce faire, les RSSI disposent de plusieurs leviers à activer.
Trouvez des soutiens
- Le top management
Dans le cadre du dialogue qu’il instaure avec sa direction, chaque RSSI aborde nécessairement la question de la sensibilisation cyber.
Le sujet ne semble pas passionner le COMEX ? Au RSSI de ruser ! Face à l’argument budgétaire, à lui d’organiser des ateliers ou une prise de parole à moindre coût.
Le COMEX doute de l’intérêt des actions proposées ? Qu’à cela ne tienne : le RSSI peut débuter son travail de sensibilisation en piégeant les dirigeants (par exemple en leur envoyant une clé USB), et en leur démontrant par l’exemple ce qui peut arriver quand les individus manquent de prudence.
- Le service communication
Comment rendre un message sur la cybersécurité accessible, voire ludique ? Quels formats privilégier ? En échangeant avec la communication, le RSSI met toutes les chances de son côté pour obtenir de l’aide sur le plan créatif et technique.
Cerise sur le gâteau : cette collaboration est aussi l’occasion de sensibiliser le service sur les risques auxquels certaines de ses pratiques des services exposent l’entreprise (comme le fait de recourir aux services d’agences web sans en informer la DSI par exemple).
- Le service RH
La cybersécurité est encore très largement présentée comme une contrainte, celle-ci prenant le plus souvent la forme d’une charte informatique que le collaborateur doit signer au moment de son embauche. Cependant, de nombreux salariés, même s’ils ont conscience de s’être engagés à respecter des règles, ont vite tendance à les oublier… Les RH constituent donc de précieux alliés pour le RSSI, qu’il pourra solliciter durant tout le cycle de présence du collaborateur.
- Les champions de la sécurité, ou early adopters
Quels sont les managers les plus réceptifs aux discours sur la cybersécurité ? Qui sont les bons élèves dans les équipes ? Le RSSI doit absolument les identifier, car ces « champions » assureront une partie de la mission d’évangélisation, en assurant la propagation des messages et des bonnes pratiques.
Comme en marketing, les individus qui adoptent les premiers une nouvelle tendance réussissent en effet à entraîner dans leur sillage la majorité silencieuse, composée de personnes ayant plutôt un tempérament de « suiveurs »… jusqu’à ce que le mouvement finisse par toucher les plus réfractaires !
Utilisez les ressources existantes
Une action de sensibilisation à la sécurité n’a pas besoin d’être coûteuse pour être efficace. Face au manque de moyens (et même de temps), les RSSI ne doivent pas hésiter à recourir à des moyens de sensibilisation déjà existants, ou à greffer leurs actions sur des actions engagées par d’autres services : en voici deux exemples.
- Campagnes vidéo : sur YouTube, le groupement d’intérêt public ACYMA (Actions contre la malveillance) propose gratuitement des vidéos de sensibilisation sur des sujets essentiels (utiliser un mot de passe trop simple, boucher les failles de sécurité en effectuant les mises à jour, le hameçonnage…)
- Goodies : l’entreprise prévoit de distribuer des tapis de souris, des calendriers ou des stylos ? Voici des supports peu coûteux dont le RSSI peut se servir pour faire passer des messages brefs, et que les collaborateurs garderont sous les yeux toute la journée.
Misez sur ce qui fonctionne !
L’échec des campagnes de sensibilisation cyber tient souvent au manque de pertinence du moyen de communication choisi. Le RSSI doit donc trier parmi les supports et canaux à sa disposition, avec la grille de lecture suivante.
- 1er niveau : l’information simple et descendante, par mail, newsletter, conférence ou affichage. Ces moyens ne sont pas toujours efficaces : faute d’être stimulés, les salariés ont tendance à ne pas retenir le message…voire à ne pas l’écouter ou le lire.
- 2e niveau : l’information avec un peu plus de mise en scène, par exemple avec de la vidéo pédagogique. Plus accessible que le contenu écrit et plus engageant, ce format peut permettre de diffuser facilement des messages de façon régulière (par exemple, en faisant tourner des vidéos sur les écrans en salle de pause) et marque davantage les esprits.
- 3e niveau : l’expérimentation, avec des pratiques telles que l’envoi d’un fichier piégé, de façon à pouvoir expliquer ensuite aux collaborateurs en quoi l’ouverture peut s’avérer dangereuse pour tout le SI. Ce niveau correspond aussi à des opérations « choc », comme le fait de pirater les téléphones avec un SMS durant une convention. Quel que soit le stratagème utilisé, l’effet bénéfique reste le même : les collaborateurs se sentent concernés pour avoir vécu l’expérience et conservent ainsi plus facilement en mémoire la bonne pratique à adopter.
- 4e niveau : la gamification, ou le recours aux serious game, qui repose sur l’apprentissage par l’expérience, le salarié étant cette fois acteur à part entière. Original, interactif, ce format représente un investissement notable, mais présente l’avantage de séduire particulièrement la génération Y.
Enfin, la création d’une identité visuelle est un plus ! Elle permettra aux collaborateurs de repérer rapidement les messages sur la cybersécurité, mais aussi d’apprivoiser la notion et de l’intégrer plus facilement dans leur quotidien.