L’humain, maillon faible du Système d’Information ? Pas si l’on décide de le former et de l’éduquer aux bonnes pratiques de cybersécurité !
La sensibilisation des utilisateurs aux bonnes pratiques de la cybersécurité est un sujet paradoxal : alors que tous les acteurs du domaine s’accordent à dire qu’il s’agit d’une mesure essentielle, sur le terrain pourtant la sensibilisation est longtemps restée le parent pauvre des investissements, loin derrière l’achat de solutions et de prestations de conseil.
Les choses ont cependant tendance à évoluer désormais, et la sensibilisation bénéficie probablement des nombreuses attaques de ransomwares survenues durant les trois dernières années, dont les dégâts sont le plus souvent causés par un clic malheureux sur un document ou un lien piégé… et donc un manque de discernement de la part des collaborateurs !
Plus globalement, la cybersécurité s’invite désormais beaucoup plus facilement dans les médias généralistes et aux heures de grande écoute (les attaques de type « fraude au président », les grandes affaires de cyberespionnage, etc.), ce qui contribue indirectement à sensibiliser les utilisateurs aux mauvaises pratiques informatiques.
Enfin, des initiatives de sensibilisation à la cybersécurité ont été menées par des associations professionnelles majeures (Syntec, CIGREF, CPME), et ont ainsi contribué à rendre la cybersécurité visible auprès du plus grand nombre.
Mais tout ceci demeure externe à l’entreprise. C’est pourquoi elle doit aussi initier un véritable programme interne de sensibilisation aux bonnes pratiques de cybersécurité afin d’éduquer ses salariés.
Le marché de la sensibilisation propose plusieurs approches, qui peuvent bien entendu se combiner afin de créer une véritable stratégie globale. Car n’oublions pas que la sensibilisation s’adresse à l’humain, dans toute sa diversité : certains d’entre nous sont ainsi plus réceptifs à des messages visuels, tandis que d’autres préfèrent lire. D’autres encore sont plus facilement emballés par un format ludique, tandis que pour d’autres, jouer, c’est perdre son temps. Bref, il en faut pour tous les goûts !
Les supports physiques
Ce n’est pas parce que nous parlons d’un domaine virtuel qu’il faut oublier pour autant le monde réel ! De la bande dessinée au porte-document illustré en passant par le cache-écran et même le dessous de verre, les supports de sensibilisation physiques sont nombreux. Il s’agit le plus souvent d’illustrer une bonne ou mauvaise pratique de manière brève, sur le ton humoristique, en pariant sur l’originalité de l’objet et sa circulation au sein de l’entreprise (aspect viral). C’est ici le domaine des sociétés-conseil en communication et des créatifs de tous poils, qui peuvent aider l’entreprise à créer des personnages, des scénarios et des situations qui illustreront les bonnes pratiques de cybersécurité. Certaines entreprises ont ainsi créé leur propre personnage, mascotte cybersécurité, déclinée en de nombreux supports et aisément reconnaissable.
Les supports numériques
Les supports de sensibilisation numériques sont évidemment très populaires lorsque l’on veut parler de numérique !
Qu’il s’agisse de faire circuler la version PDF d’une bande dessinée, un petit film vidéo, des fonds d’écrans animés ou des modules de formation en ligne destinés à mesurer la connaissance des salariés, l’outil informatique est au premier plan de l’effort de sensibilisation. C’est ici le domaine de sociétés d’édition de contenu, souvent vidéo et interactif. Outre sa souplesse évidente, l’approche numérique offre un atout supplémentaire par rapport aux supports physiques : elle permet aux services RH de suivre le niveau de sensibilisation des collaborateurs, et donc d’apporter la preuve, sur le plan réglementaire, que l’entreprise a effectivement formé et sensibilisé ses salariés au risque cyber. Dans le cadre du e-Learning, cela permet également de disposer des scores réalisés par chacun et de connaître ainsi le niveau de maturité à la cybersécurité de l’ensemble de l’organisation. Pour cela, il faut s’assurer que les contenus envisagés soient compatibles avec le format SCORM (supporté par la plupart des plateformes de e-Learning sérieuses). Et ne pas hésiter à garder un œil sur Tin Can, le format concurrent montant. Car SCORM, vieillissant, est particulièrement lourd à mettre en œuvre pour les producteurs de contenus, et peu adapté au monde du web.
Les Serious Games
Complémentaires aux supports numériques, les Serious Games permettent une sensibilisation par le jeu. Selon des études scientifiques, le fait de vivre une expérience de manière immersive, ludique et interactive permettrait une bien meilleure rétention de l’information et une meilleure adhésion aux messages. D’ailleurs une étude menée en 2012 chez un constructeur automobile français a montré que 70 % des apprenants ne terminent jamais les modules e-Learning tandis que 100 % vont jusqu’au bout du Serious Game !
Du jeu d’enquête aux puzzles, en passant par le jeu d’adresse, tout est dans la nature. Mais le projet devra définir sérieusement les besoins et mener de longues séances d’évaluation avec des joueurs-tests afin de s’assurer de la bonne réception de l’outil dans l’entreprise.
Privilégiez là aussi les jeux qui permettent d’avoir un retour sur leur utilisation : combien de collaborateurs ont-ils participé ? Quelle est la durée moyenne d’une session ? Avec quels défis ont-ils le plus de difficulté ?
Les séances en présentiel
L’approche présentielle consiste à réunir un groupe de salariés pour une séance de sensibilisation sur le mode d’une présentation et d’un débat. Incontournable pour lancer un programme, elle est toutefois limitée dans sa portée, car il n’est possible de faire jouer que quelques dizaines de collaborateurs à la fois. À réserver donc à des actions ciblées, pour des populations bien identifiées.
En outre, il est nécessaire de mettre en place des activités qui viendront stimuler la curiosité et l’intérêt des collaborateurs. Rien n’est pire qu’une présentation PowerPoint sans originalité, suivie par obligation !
Les tests grandeur nature
Dernier axe de sensibilisation : la mise en pratique ! Cela consiste le plus souvent à reproduire un comportement d’attaquant, dans un environnement contrôlé et bien entendu sans danger pour les salariés ni l’entreprise, et d’observer le comportement des utilisateurs.
Parmi les campagnes grandeur nature les plus simples à mettre en œuvre, l’on trouve les vrais-faux emails de phishing (qui reproduisent par exemple la page de connexion d’un service de l’intranet) ou la distribution de clés USB piégées sur le parking de l’entreprise.
Une fois les « pièges » semés l’analyse des résultats permet alors d’identifier les comportements les plus à risque et de mettre l’accent, par des séances complémentaires et personnalisées notamment, sur les salariés les plus susceptibles de présenter des comportements à risque.
Mais le plus intéressant demeure la véritable simulation de crise.
Là, après avoir répliqué une partie du système d’information dans un environnement virtuel, les joueurs reçoivent des stimuli leur présentant une situation de crise, et doivent réagir en menant à bien leurs investigations et leurs stratégies de défense directement sur la plateforme. Parfois, une équipe d’experts (une « Red Team ») joue le rôle de l’attaquant et mène de véritables opérations en temps réel, sur la plateforme, tandis que les joueurs tentent de les débusquer et de protéger leurs systèmes.
L’on dépasse ici le simple cadre de la sensibilisation pour entrer dans celui de l’entraînement et de la formation, mais il s’agit d’une approche particulièrement efficace pour entraîner les équipes de cybersécurité. Elle peut également être employée pour sensibiliser les équipes techniques à ce à quoi peut ressembler une véritable attaque vue depuis leurs propres systèmes.
Une stratégie globale
La sensibilisation doit être un projet global piloté par une stratégie qui intègre idéalement chacun de ces modes d’action. Il sera possible, par exemple, de bâtir un socle de connaissances initial par des séances présentielles ciblées à destination de catégories d’utilisateurs spécifiques, tout en ayant recours à des supports physiques distribués dans l’entreprise pour maintenir la vigilance et rappeler les bonnes pratiques générales. Des animations vidéo, un Serious Game ou des pratiques événementielles mêlant team building et cybersécurité pourraient alors constituer les temps forts du programme, destiné à emporter l’adhésion des participants et maintenir leur enthousiasme. Enfin, un ou deux tests grandeur nature par an pourraient venir mesurer l’impact du programme de sensibilisation.
Quant à l’entraînement, il s’agira d’un second programme, destiné cette fois à préparer les équipes (cyber et opérateurs IT) à l’attaque, et à leur permettre de pratiquer la mise en œuvre des procédures définies dans le cadre du programme de gestion de crise.
