Accueil Sensibilisation et formation

Sensibilisation et formation

L’humain, maillon faible du Système d’Information ? Pas si l’on décide de le former et de l’éduquer aux bonnes pratiques de cybersécurité !

 

La sensibilisation des utilisateurs aux bonnes pratiques de la cybersécurité est un sujet paradoxal : alors que tous les acteurs du domaine s’accordent à dire qu’il s’agit d’une mesure essentielle, sur le terrain pourtant la sensibilisation est longtemps restée le parent pauvre des investissements, loin derrière l’achat de solutions et de conseil.

Les choses ont cependant tendance à évoluer désormais, et la sensibilisation bénéficie probablement de la récente vague de ransomwares, dont les dégâts sont le plus souvent causés par un clic malheureux sur un document ou un lien piégé… et donc un manque de discernement de la part des collaborateurs !

Plus globalement, la cybersécurité s’invite désormais beaucoup plus facilement dans les médias généralistes et aux heures de grande écoute (les attaques de type « arnaque au président », le cyber-espionnage…), ce qui contribue indirectement à sensibiliser les utilisateurs aux mauvaises pratiques informatiques.

Enfin, des initiatives de sensibilisation à la cybersécurité ont été menées par des associations professionnelles majeures (Syntec, CIGREF, CPME), et ont contribué à rendre la cybersécurité visible auprès du plus grand nombre.

Mais tout ceci demeure externe à l’entreprise. C’est pourquoi elle doit aussi initier un véritable programme interne de sensibilisation aux bonnes pratiques de cybersécurité afin d’éduquer ses salariés.

Le marché de la sensibilisation propose plusieurs approches, qui peuvent bien entendu se combiner afin de créer une véritable stratégie globale de sensibilisation.

Les supports physiques

Ce n’est pas parce que nous parlons d’un domaine virtuel qu’il faut oublier pour autant le monde réel ! De la bande dessinée au porte-document illustré en passant par le cache écran et même le dessous de verre, les supports de sensibilisation physiques sont nombreux. Il s’agit le plus souvent d’illustrer une bonne ou mauvaise pratique de manière brève, sur le ton humoristique, en pariant sur l’originalité de l’objet et sa circulation au sein de l’entreprise (aspect viral). C’est ici le domaine des sociétés conseil en communication et des créatifs de tous poils, qui peuvent aider l’entreprise à créer des personnages, des scénarios et des situations qui illustreront les bonnes pratiques de cyber-sécurité.

Les supports numériques

Les supports de sensibilisation numériques sont eux aussi très populaires. Qu’il s’agisse de faire circuler la version numérique d’une bande dessinée, d’un petit film vidéo, de fonds d’écrans animés ou de modules de formation en ligne pour mesurer la connaissance des salariés, l’outil informatique est évidemment au premier plan de l’effort de sensibilisation. C’est ici le domaine de sociétés d’édition de contenu, souvent vidéo et interactif. Outre sa souplesse évidente, l’approche numérique offre un atout supplémentaire par rapport aux supports physiques : elle permet aux services RH de suivre le niveau de sensibilisation des collaborateurs, et donc d’apporter la preuve, sur le plan réglementaire, que l’entreprise a effectivement formé et sensibilisé ses salariés au risque cyber. Dans le cadre du e-Learning, cela permet également de disposer des scores réalisés par chacun et de connaître ainsi le niveau de maturité à la cybersécurité de l’ensemble de l’organisation.

Les Serious Games

Complémentaires aux supports numériques, les Serious Games permettent une sensibilisation par le jeu. Selon des études scientifiques le fait de vivre une expérience de manière immersive, ludique et interactive permettrait une bien meilleure rétention de l’information et une meilleure adhésion aux messages. D’ailleurs une étude menée en 2012 chez un constructeur automobile français a montré que 70% des apprenants ne terminent jamais les modules e-Learning tandis que 100% vont jusqu’au bout du Serious Game !

Les séances en présentiel

L’approche présentielle consiste à réunir un groupe de salariés pour une séance de sensibilisation sur le mode d’une présentation et d’un débat. Incontournable pour lancer un programme, elle n’est toutefois pas nécessairement celle qui emporte le plus l’adhésion générale. Sans compter qu’il est parfois difficile de réunir tous les collaborateurs concernés !

Les tests grandeur nature

Dernier axe de sensibilisation : la mise en pratique ! Cela consiste le plus souvent à reproduire un comportement d’attaquant, dans un environnement contrôlé et bien entendu sans danger pour les salariés ni l’entreprise, et d’observer le comportement des utilisateurs.

Parmi les campagnes grandeur nature les plus populaires l’on trouve les vrais/faux emails de phishing (qui reproduisent par exemple la page de connexion d’un service de l’intranet) ou la distribution de clés USB piégées sur le parking de l’entreprise.

Une fois les « pièges » semés, l’analyse des résultats permet alors d’identifier les comportements les plus à risque et de mettre l’accent, par des séances complémentaires et personnalisées notamment, sur les salariés les plus susceptibles de présenter des comportements à risque.

Une stratégie globale

La sensibilisation doit être un projet global piloté par une stratégie qui intègre idéalement chacun de ces modes d’action. Il sera possible, par exemple, de bâtir un socle de connaissances initial par des séances présentielles ciblées à destination de catégories d’utilisateurs spécifiques, tout en ayant recours à des supports physiques distribués dans l’entreprise pour maintenir la vigilance et rappeler les bonnes pratiques générales. Des animations vidéo, un Serious Game ou des pratiques événementielles mêlant team building et cybersécurité pourraient alors constituer les temps forts du programme, destinés à emporter l’adhésion des participants et maintenir leur enthousiasme. Enfin, un ou deux tests grandeur nature par an pourraient venir mesurer l’impact du programme de sensibilisation.