Un personnel formé, totalement sensibilisé à la sécurité, ne serait-il pas l’acte ultime d’une « décentralisation de la sécurité réussie ? »
Dans ce modèle idéal, chacun prend conscience des enjeux, des risques de ses actes quotidiens, et prend donc, naturellement, les mesures destinées à réduire ces risques. Chacun sait ce qu’il doit faire, pourquoi il doit le faire (c’est la partie sensibilisation), et comment il doit le faire (on débouche sur la formation).
Nous constatons par la pratique qu'il se dégage les points suivants :
- Une très grande hétérogénéité des pratiques : en matière de sensibilisation et de formation à la sécurité, c’est le grand écart ! De presque institutionnalisé dans certaines entreprises à une absence quasi complète dans d’autres. Les raisons évoquées expliquant cette disparité portent sur le secteur d’activité de l’entreprise, avec prédominance (ou absence) de l’outil IT ; sur la sensibilisation plus ou moins grande du dirigeant ; et sur la présence ou l'absence d’obligation réglementaires.
Même si l’écart type semble important, la moyenne de la prise en compte de la sensibilisation et de la formation à la SSI est faible. Si la sécurité est le parent pauvre de l’informatique, alors la sensibilisation et la formation à la SSI sont les parents pauvres de la sécurité !
Enfin, inventorier des bonnes pratiques, issues de retour d’expérience revêt un caractère opérationnel présentant un intérêt.
Nous vous proposons une analyse réalisée à partir des travaux du CLUSIR-EST, structurée en cinq « pistes d’économies », étayées par des exemples.
Sensibilisation : les supports
La sensibilisation utilise plusieurs vecteurs. Le recours a des moyens ou contenu 'ludiques' fait consensus, ils sont un gage de meilleure prise en compte des messages véhiculés.
Parmi ceux cités : les mails, avec l’utilisation de messages ciblés, le rappel de bonnes pratiques, l'information sur incidents (ceci introduit une notion de réaction) ; la charte, souvent annexée au règlement intérieur ; l’affichage ; la newsletter ; les BD ; la session de sensibilisation (Security Day) ; les outils en ligne de type e-learning, gratuits ou payants ; un message spécifique à l’ouverture de session du poste de travail ; des procédures, par exemple la procédure indiquant comment accompagner un prestataire devant intervenir dans la salle serveur ; et enfin de s’appuyer si nécessaire et si possible sur un intervenant externe.
Sensibilisation : quels messages ?
Les messages à faire passer les plus fréquemment cités sont le verrouillage de son écran, la gestion de son mot de passe (complexité, changement, confidentialité, les risques liés aux clés USB, les impressions, dans l’industrie les appareils photos, la sécurité physique du poste de travail (utiliser son antivol). Mais aussi des messages adaptés en rapport avec l’activité quotidienne des utilisateurs, ce qui suppose une bonne interaction avec les métiers, ainsi que des messages spécifiques liés aux nouveaux usages de l’IT (réseaux sociaux, appareils personnels, …). L'objectif est de susciter l’engagement, mais faut-il jouer sur la peur du gendarme ?
Sensibilisation : à quels moments ?
Là aussi nous faisons le constat d'un consensus : la sensibilisation doit être permanente. Certains moments clés sont évoqués, comme la journée d’accueil, voire le parcours d’accueil dont on profite pour faire passer les messages clés, signer la charte, faire connaître l’organisation sécurité, … Ainsi que l'organisation d'un événement annuel : le Security Day. Il est conseillé de rebondir sur un événement (même externe à l’entreprise) qui 'parle' aux employés.
Sensibilisation : quels moyens ?
Le mode « best effort » est le mode minimal. Mais il s’avère trop souvent insuffisant. Aussi, il faut trouver ou dégager des moyens, avec en sponsor le comité de direction. Les finances aident à identifier et faire approuver un budget de sensibilisation, souvent avec un lien fort avec le budget communication. Nous conseillons de s’appuyer sur les analyses de risques si elles existent, de donner des objectifs de sensibilisation sécurité à la ligne managériale, et de désigner des relais sécurité, pour cela de former plus spécifiquement quelques personnes à la SSI afin de faire « boule de neige ».
Sensibilisation : quels freins ?
Ils sont souvent le corollaire des actions à mener ! Les points les plus fréquemment cités sont l'absence de sponsor et l'absence de moyens (temps, argent). Les avis sont partagés sur la question des moyens financiers, avec des avis divergents : la sensibilisation est indissociable de moyens financiers pour certains, et pour d’autres cela n’est pas prégnant. Ce type d’activité de l’entreprise étant peu en relation avec l’IT, il n'est trop souvent pas prioritaire, ce qui entraine une culture de la sécurité trop faible, ansi qu'une difficulté à calculer un ROI sur ce sujet.
Sensibilisation : pour qui ?
Un constat s’établit rapidement : on associe la sensibilisation avec le personnel de l’entreprise. Mais le panel plus complet devrait être le personnel, les prestataires et les fournisseurs ;
Sensibilisation : des astuces et bonnes adresses
Voici quelques sources à consulter, tirées de nos retours d’expérience :
- Le SANS Institute
- Phishme.com : il s’agit d’un « faux » email destiné à « piéger gentiment » l’utilisateur à des fins de sensibilisation. Mais attention au risque de rejet !
- Proposer des liens externes pour se former (securite.gouv par exemple)
- Rebondir sur un événement marquant, au sein de l’entreprise ou même en externe
- La charte sécurité SNCF (basée sur des BD)
- Faire appel au monde associatif, CLUSIR, OZSSI, DCRI...