Sensibilisation sécurité de l’information : avoir une démarche professionnelle

A une époque où la grande majorité des incidents de sécurité trouvent leur source dans une défaillance humaine, la sensibilisation des utilisateurs gagne ses lettres de noblesse.
Il ne faut cependant pas perdre de vue l’objectif ultime de la sensibilisation qui consiste dans le développement d’une culture sécurité et l’adoption des bons comportements dans les entreprises.
A ce titre il est essentiel d’adopter sur ce sujet une démarche professionnelle qui s’inscrit dans la durée et dans un souci d’amélioration permanente.


Il est donc nécessaire d’adopter une méthode qui va permettre de travailler sur les 3 axes :

  • Sensibilité : importance du sujet pour le collaborateur et prise de conscience des enjeux;
  • Connaissances : apprentissage des notions et des comportements attendus;
  • Comportements : adoption des comportements attendus.

Notre expérience, acquise au travers de plus de 150 projets, nous a ainsi permis de dégager 10 facteurs clés de succès :

  1. Adopter une mesure :
    Il est indispensable d’adopter une mesure et ainsi évaluer l’impact de tout ce que l’on fait en matière de sensibilisation. Cette mesure de la maturité permet d’évaluer la situation, de mesurer le chemin parcouru et de faire exister le sujet dans les comités exécutifs. Elle seule permet également d’inscrire notre effort dans une démarche d’amélioration permanente. On choisira de préférence une mesure qui permet d’évaluer l’entreprise sur les 3 axes (sensibilité, connaissances et comportements) ;
  2. Avoir un sponsor au sein de la Direction :
    L’exemple doit venir d’en haut, le sujet de la sécurité doit être perçu comme étant un sujet important pour l’entreprise ;
  3. Etablir une stratégie planifiée :
    Qui, Quoi, Comment et Quand. Il faut analyser au préalable la population ciblée avec ses différentes spécificités. On ne va pas sensibiliser de la même façon le Comité Exécutif, la DSI et les autres collaborateurs de l’entreprise, par exemple. IL faut choisir les messages que l’on souhaite faire passer, la façon dont on va les faire passer (sensibilisation en ligne, workshops, supports…). Et il faut bien entendu planifier l’ensemble des actions dans le temps. C’est cette stratégie qui donne une cohérence au plan d’ensemble ;
  4. Donnez envie :
    La motivation à suivre une campagne de sensibilisation ne sera probablement pas spontanée, il faut donc mettre toutes les chances de notre côté et donner envie aux collaborateurs de la suivre. Les supports proposés doivent être plaisants et favoriser l’envie des utilisateurs à suivre la sensibilisation ;

  5. Les contenus doivent être engageants et interactifs :
    L’objectif est de faire en sorte d’obtenir la meilleur rétention du message et d’avoir le meilleur impact sur les comportements. Pour ce faire les supports doivent être engageants et interactifs ;
  6. Simplicité d’accès et d’utilisation :

    La campagne et les supports proposés doivent être simples et facilement accessibles quelque soit le profil de l’utilisateur. N’oublions pas qu’on leur demande de la disponibilité sur un temps déjà bien compté. L’utilisateur ne doit pas avoir à se poser de questions sur la façon de suivre la campagne et entrer directement dans le vif du sujet ;
  7. Facilité de déploiement :
    La solution doit se déployer aisément et ne nécessiter aucune installation particulière sur le système d’information de l’entreprise. Elle doit aussi tenir compte de la variété possible de versions de navigateurs ;
  8. Procéder par touches successives :
    Rien ne sert de vouloir traiter tous les sujets d’un coup et de proposer aux utilisateurs un contenus trop long, fastidieux à parcourir en entier. Il vaut mieux procéder par touches successives en proposant régulièrement des contenus courts ;
  9. Communiquer sur la campagne :
    Il faut donner du feedback aux utilisateurs. Il faut qu’ils se sentent faire partie d’un élan général dans l’entreprise. Il faut bien sûr annoncer la campagne et ne pas hésiter à faire des relances régulières ;
  10. Persévérer :
    Il s’agit d’un travail de longue haleine. Sur ce sujet plus que les autres, il faut s’inscrire dans la durée.

La prise en compte des l’ensemble de ces facteurs clés de succès dans une démarche globale de développement de la culture sécurité est, à notre sens, la meilleure façon d’obtenir des résultats dans la durée. Nous aurons l’occasion de revenir ici plus en détail sur chacun de ces facteurs clé de succès.