Derrière cette question légèrement accrocheuse se cache cependant une réalité.
En effet, chez Conscio Technologies nous croyons fermement qu’avant toute chose, la mission que doit se fixer un RSSI dans ses opérations de sensibilisation est d’aider les utilisateurs. Et, la meilleure façon d’être sûr de les avoir aider n’est elle pas qu’ils vous en remercient ?
Refaisons un peu l’histoire.
Tout utilisateur du SI est d’abord là pour une excellente raison, il a été embauché pour réaliser des missions précises que l’organisation qui vous emploie a jugées utiles et nécessaires. Ce sont ses qualités à remplir ces missions qui ont conduit à son embauche et non ses compétences cyber. On pourrait revenir sur l’opportunité d’ajouter dans les critères d’embauche une connaissance cyber minimum, mais cela est un autre débat.
Et c’est lors de la réalisation de ces missions qu’ils deviennent la cible de cybercriminels. Ces derniers vont utiliser leurs faiblesses, leur ignorance et naïveté, pour porter leurs attaques.
Votre rôle en tant que RSSI est donc d’aider vos utilisateurs à faire face à ces attaques. Il s’agit de leur donner un minimum d’armes pour rééquilibrer la balance qui penche initialement a priori en faveur des cyber attaquants. Mon propos n’est pas ici de rentrer dans les détails d’un programme de sensibilisation mais globalement celui ci va s’articuler autour des 3 points suivants :
– La menace est réelle
– Ce sont eux qui sont visés
– Ce n’est pas si compliqué de se protéger.
Le point important souligné ici est que l’équipe en charge de la sensibilisation doit développer avant tout un état d’esprit d’aide aux utilisateurs.
La mise en oeuvre d’une stratégie de sensibilisation ayant cet objectif va notamment s’appuyer sur :
– Définition de la stratégie en précisant les qui, quoi, comment, quand
– Identification des freins et objections
– Démarche d’engagement
– Etude impact
– Amélioration permanente
L’optique d’aider les utilisateurs change tout et devient le crible au travers duquel sont sélectionnées et validées les différentes opérations de sensibilisation des utilisateurs.
De cette façon il est possible d’éviter les 3 tentations de la sensibilisation :
1. Vouloir uniquement se mettre en conformité :
Ici la sensibilisation réalisée consiste uniquement à cocher une case. Finalement peu importe le contenu et la méthode du moment qu’on peut montrer la réalisation d’une action de sensibilisation. Cela conduit souvent à une seule opération annuelle dans laquelle on diffuse tous les messages en une seule fois. Inutile de dire que ce genre d’actions n’a que peu de résultats sur l’adhésion et l’engagement des utilisateurs.
2. Vouloir uniquement piéger :
Ici la sensibilisation s’articule essentiellement voire exclusivement autour de campagnes de test phishings. Il s’agit d’envoyer des e-mails semblables à de vrais phishings qui cherchent à piéger les utilisateurs et à leur montrer comment une attaque peut fonctionner. Si ce genre d’opérations réalisées avec parcimonie et dans une approche précise peuvent être utiles, elles présentent de nombreux défauts :
– Il est difficile de donner une image positive de la cybersécurité par ce procédé. Cela est pourtant nécessaire si on veut les engager dans cette voie;
– On n’apporte que peu d’informations à ceux qui se font piéger car même si le scénario prévoit d’apporter une information à ceux qui se font prendre, on se rend compte que, très souvent, ces utilisateurs se déconnectent quand ils arrivent sur la « oups page »
– De plus on n’apporte aucune information à ceux qui ne se font pas piéger, alors que tout le monde a besoin d’être sensibilisé à la cybersécurité;
– On passe à côté de tous les autres sujets de la cybersécurité qui ne saurait se résumer au phishing;
– Ne sensibiliser qu’au travers du test phishing revient finalement à chercher à sensibiliser toujours le moins de personnes possibles car on on souhaite évidemment que le taux de clics baissent.
3. Se dire que si c’est nouveau c’est forcément mieux :
Si le renouvellement des modalités de sensibilisation est nécessaire pour maintenir ou développer la participation et l’engagement des utilisateurs, il ne faut pas perdre de vue que l’objectif final est bien d’obtenir un engagement des utilisateurs à développer des comportements de protection cyber. De même, en fonction des organisations, les problématiques de déploiement, de temps passé, de facilité d’assimilation du messages, sont des facteurs déterminants.
Une bonne façon de mesurer l’aide apportée aux utilisateurs est de procéder à une étude d’impact à froid. Celle ci-doit porter non seulement sur la satisfaction des utilisateurs mais aussi sur l’appréciation de leur montée en compétence ainsi que celle de leur organisation.
Ci-après quelques indicateurs extraits de la compilation de plusieurs études d’impact.
Pour plus d’information, contactez-nous :
