Ce billet traite du facteur clé de succès N°2 d’une campagne de sensibilisation qui est d’avoir le sponsor de sa Direction. Il est particulièrement important.
Si, parmi les 10 facteurs clés de succès dont nous allons parler dans ces billets, celui-ci est plutôt facile à décrire, il est en revanche parfois complexe à obtenir.
Notre expérience sur près de 200 projets de sensibilisation en ligne fait apparaître des taux de participation qui vont de 10% à 80% environ, dans le cadre de campagnes non obligatoires. La moyenne se situe en général entre 55% et 65%. Ce qui, bien souvent, fait la différence entre une bonne et une mauvaise participation, est le niveau d’engagement de la Direction.
Le développement de la maturité d’une population sur la cybersécurité passe tout d’abord par un bon niveau de sensibilité au sujet. Dès lors comment être sensible à ce sujet dans son entreprise si l’on ne sent pas qu’il s’agit d’une préoccupation des dirigeants ? L’exemple a ici force d’adhésion. Impossible en effet de prendre le sujet au sérieux si les premiers contrevenants aux bonnes pratiques se trouvent au sommet de la pyramide.
Il est donc souhaitable d’associer, à l’annonce de votre campagne de sensibilisation, un message de la Direction. Celui ci peut prendre diverses formes :
- L’extrait d’une communication officielle incluses dans le mail d’invitation à la campagne,
- Une courte vidéo en introduction de la campagne,
- L’annonce de la campagne faite directement par la Direction.
Fin 2017, la plupart des dirigeants sont conscients des risques que fait peser la cybercriminalité sur l’activité de leur organisation. Nombre d’entre eux ont également compris qu’une bonne stratégie de cybersécurité s’appuie sur une organisation, de la technologie et sur un volet humain d’autant plus important que la majorité des cyberattaques réussies passe par une défaillance humaine.
Si vous avez cependant besoin de sensibiliser votre Direction sur l’importance des enjeux vous pouvez :
- Mettre en avant la règlementation. A ce titre le RGPD qui entre en application le 25 mai 2018 précise les obligations à respecter en matière de protections des données et renforce considérablement les sanctions. Celles ci ne peuvent notamment plus être ignorées par les Directions des entreprises.
- Rendre tangible le risque encouru en prenant appui sur des piratages déjà survenus dont on parle de plus en plus dans les médias ou, le cas échéant, déjà survenus au sein de votre organisation.
- Mettre en avant les bonnes pratiques en cybersécurité.
- Mettre en avant un état des lieux de la maturité des collaborateurs au regard de la cybersécurité. Etablissement d’une mesure et définition d’objectifs chiffrés. Faire exister la sensibilisation auprès des Directions passe aussi par la mise en place d’indicateurs et d’objectifs clairs en face desquels on peut demander un budget. C’est pour cette raison que la définition d’une mesure a été placé comme facteur clé de succès N°1 (voir le billet correspondant).
