Quelle campagne de sensibilisation en ligne type ?

Une question revient souvent. Il s’agit en effet de définir la façon de mettre en oeuvre un plan d’actions de sensibilisation à la sécurité de l’information en ligne. Quelles campagnes de sensibilisation en ligne mener ? À quelle fréquence ? Avec quel contenu ? De quelle durée ? Telles sont les questions qui nous sont régulièrement posées.
reaction-phishing-entreprise
 Même si les réponses à ces questions peuvent différer d’une entreprise à l’autre, compte tenu de sa culture, de son métier, de son actualité, l’expérience nous montre que l’on peut dégager un plan d’actions type dont il est possible de s’inspirer.
Tout d’abord, il convient d’inscrire ce plan d’actions dans la durée. En effet, ce n’est pas en une seule campagne que l’on peut espérer développer une culture de protection de l’information. Les plans d’actions proposés ici se déroulent donc sur une période de 3 années.
Chaque entreprise est bien entendu un cas particulier à part entière. Ainsi la stratégie de sensibilisation adoptée par chacun devra tenir compte de multiples facteurs. L’idée ici est d’établir une sorte de canevas dont il est possible de s’inspirer.
D’une façon générale, nous retiendrons deux scénarios : le cas où des opérations de sensibilisation ont déjà eu lieu et le cas contraire où le terrain est vierge ou quasi vierge.

1er scénario : Des opérations de sensibilisation ont déjà eu lieu.

Il peut être intéressant dans ce cas de faire un bilan du niveau de maturité atteint dans l’entreprise. Pour ce faire on pourra mettre en oeuvre une enquête ISAM (Information Security Awareness Meter). ISAM permet de donner une évaluation du niveau de maturité sécurité sur 3 axes : sensibilité, connaissances et comportements. Il permet également de 20140610080859-p3-document-adwfse positionner selon un benchmark réaliser sur un panel d’entreprises.
Sur la base de ce bilan, on va dégager les sujets méritants un approfondissement. Cela permet d’identifier les thématiques des campagnes à venir. On se dote également ainsi d’une mesure qui va nous permettre de connaître notre point de départ et de se donner des objectifs. C’est aussi une façon de pouvoir faire exister le sujet de la sensibilisation au sein des comités exécutifs.
A l’heure actuelle les sujets sur lesquels nous constatons la nécessité de renforcer la sensibilisation est la connaissance des utilisateurs sont notamment l’ingénierie sociale, le phishing, les ransomwares, la protection des données à caractère personnel. Avec l’avènement du nouveau règlement européen ce dernier sujet est appelé à prendre une place particulière dans les prochaines campagnes de sensibilisation.
Nous partons ensuite du principe qu’en matière d’acculturation sur la sécurité, il vaut mieux faire court souvent plutôt que long rarement. Ainsi on planifiera des campagnes courtes sur un rythme de plusieurs par an. En fonction du contexte on choisira de mener une campagne mensuelle ou trimestrielle. Grâce au format court ces campagnes seront bien acceptées. Les avantages de ce qu’on peut appeler le « microlearning » sont nombreux :
  • Facilité à insérer le suivi de la campagne dans son emploi du temps vu que quelques minutes suffisent. Il est même possible de suivre la campagne sur un mobile lors de transports;
  • Rétention plus aisée : le message est plus court et donc plus facile à retenir;
  • La répétition, rendue possible par la faible durée de chaque campagne, favorise le rappel et le développement d’une vraie culture de la sécurité;
  • Les contenus sont plus faciles et plus rapides à produire, c’est donc moins couteux et aussi plus facile de s’adapter à l’actualité.
Appelons ces contenus au format court des capsules. Ces capsules ne devront pas dépasser 5 à 7 minutes à suivre. En fonction des thématiques retenues, ces capsules contiendront une saynète ou une vidéo traitant du sujet et contenant les messages que l’on cherche à faire passer. Ces vidéos ou saynètes, de deux à trois minutes, devront être plaisantes à regarder afin de donner au maximum l’envie de les suivre. Afin de s’assurer que le collaborateur a bien suivi le contenu, 2/3 quiz seront posés. Cette interaction permet de vérifier que le contenu est bien compris, de fixer le message dans l’esprit de l’apprenant et d’enrichir les statistiques de suivi des campagnes.
La vidéo est probablement le format qui se prête le mieux au « microlearning » et sera donc à privilégier.capture-decran-2016-04-25-16-39-22
Néanmoins, certaines configurations réseaux, ou l’usage d’open spaces ne favorise pas l’utilisation de ce format. On pourra dans ce cas privilégier la diffusion de saynètes, succession de plans fixes, similaires à une bande dessinée.
En parallèle de ces actions on pourra également disposer d’une campagne permanente à destination des nouveaux arrivants dans l’entreprise. Cette campagne pourra s’appuyer sur les Essentiels, corpus minimal de bonnes pratiques à connaitre.
Sur une base pluri annuelle, on pourra envisager de mener une évaluation de type ISAM une fois par an et de programmer la diffusion de campagnes à base de capsules selon une fréquence qui peut diminuer dans le temps et dans la mesure où l’évaluation montre une nette progression du niveau d’acculturation. On pourra ainsi passer d’une fréquence mensuelle à une fréquence trimestrielle au bout de la deuxième année si les résultats sont au rendez-vous.

2ème scénario : Aucune opération de sensibilisation n’a déjà été menée ou on ne dispose pas de retour suffisant de ce qui a été fait

Ce scénario diffère du premier essentiellement dans son démarrage. En effet, si rien ou presque n’a été fait, il n’est pas très utile de procéder à une évaluation préalable. En effet, il est fort probable que cette évaluation de fasse que mettre en évidence une lacune sur tous les points. Compte tenu dans ce cas de l’urgence à démarrer la sensibilisation, il est largement préférable d’entamer au plus vite les opérations de sensibilisation. Nous ne rappellerons pas en effet ici combien est à risque une entreprise dont les salariés ne sont pas sensibilisés aux bonnes pratiques en matière de sécurité de l’information.
On privilégiera donc dans ce cas de commencer par une campagnes de sensibilisation sur les essentiels. Les essentiels tels qu’on les définit aujourd’hui traitent, dans les grandes lignes :
  • De la notion de protection de l’information,Saynète Mobilité
  • Des mots de passe,
  • De la messagerie,
  • De l’ingénierie sociale,
  • De la mobilité,
  • D’un peu de sécurité physique.
Cette première campagne sera dans un format plus long que ce qui a été décrit plus haut et nécessitera donc plus d’efforts de la part des collaborateurs. La durée de cette campagne pourra en effet atteindre la demi heure. Les utilisateurs l’accepteront cependant d’autant mieux qu’elle sera  la première opération du genre. Par ailleurs nous sommes ici dans l’urgence et il est nécessaire de ne pas attendre pour passer les messages principaux en la matière.
Le format de cette campagne inclura à la fois les messages de sensibilisation et les quiz de contrôle de compréhension. Ceux-ci sont néanmoins conçus d’avantage afin de faire réagir l’utilisateur et de s’assurer de sa compréhension que pour réellement évaluer ses connaissances.
Quelques mois après cette première campagne, on pourra procéder à une campagne d’évaluation du type ISAM.
A l’issue de cette campagne on pourra se rapporter au cycle décrit dans le premier scénario.
NB : Nous ne traitons ici que des opérations de sensibilisation au travers de campagnes en ligne. Dans ce long processus d’acculturation d’autres types d’opérations doivent également être considérées : séances en présentiel, journée de la sécurité, documents papier, supports divers, newsletter…