Faire comprendre et adhérer à l’essentiel

Sensibilisation cybersécurité, les 10 freins et objections les plus fréquents

Partager cette publication

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

N°1 – L’inconscience

Après avoir conclu la courte série de 4 billets sur les raisons pour lesquelles il est utile de faire de la sensibilisation, je vous proposer ici d’ouvrir une série de billets sur les freins et objections que l’on rencontre le plus fréquemment dans la mise en oeuvre d’une stratégie de sensibilisation.

Nous avons retenu dans cette série les 10 principaux que l’on rencontre le plus fréquemment. Dans chaque contexte une étude plus précise peut être utile pour identifier lesquels s’appliquent à chaque organisation et, le cas échéant, s’il en existe d’autres.

Afin d’assurer le meilleur succès de vos campagnes de sensibilisation il est utile de les connaitre et de les lever, ou, en tous cas, d’en diminuer la portée.

Chacun de ces billets traitera spécifiquement de l’un d’entre eux. Nous le verrons certaines actions agissent sur plusieurs à la fois.

Commençons donc cette série par le premier des freins, l’inconscience. On pourrait croire, qu’avec tout ce qui a été déjà été dit dans la presse, dans les fictions, par les entreprise, par les équipes sécurité, que ce frein a disparu. S’il est vrai que la part de la population totalement ignorante de la menace a fortement diminué, il reste encore une part non négligeable pour qui cette menace n’est pas réelle ou en tout cas qu’elle est suffisamment abstraite pour ne pas avoir à s’en soucier. Imaginer que ce n’est plus le cas revient à tomber dans le biais consistant à croire que, parce qu’on parle nous même d’un sujet depuis longtemps, cela implique que cela est acquis pour tout le monde. 

Comme il reste forcément dans votre population quelques personnes qui en sont encore à ce stade, il est utile de rappeler un certain nombre de messages. Ce rappel sera également utile à ceux qui, bien que conscients de l’existence du danger, cherche à le nier pour mieux contourner les règles.

ISAM

Ces messages sont au nombre de 3 :

  1. La menace est réelle, dangereuse et elle frappe partout
    La cybercriminalité prend différents aspects et frappe partout. Le patron d’une PME du Finistère a fait un jour cette remarque après une cyberattaque : « Là où on est je ne pensais pas que les cybercriminels pourraient nous viser ». Sur Internet tout le monde est à équidistance. Il est vrai que certaines entreprises ou administrations seront davantage ciblées mais tout le monde est visé. 

  2. C’est l’utilisateur qui est visé et les conséquences pour lui peuvent être lourdes
    Le risque ne doit pas être perçu par l’utilisateur comme quelque chose de lointain. La plupart des attaques utilise à un moment ou à un autre un défaut de comportements d’un ou plusieurs utilisateurs. Ce sont donc eux qui sont visés. De plus, lorsqu’une attaque a réussi, si l’entreprise ou l’administration est une victime, le collaborateur par lequel cette attaque a pu passer en est également une. A ce titre il peut, comme toute victime, avoir du mal à s’en remettre et peut souffrir de stress post traumatique. A titre d’exemple, une PME de l’ouest de la France avait été liquidée après une arnaque au président. 40 salariés se sont ainsi trouvés sans emploi. Cette attaque fut possible en dupant la responsable financière qui croyant bien faire a effectué les virements ruinant l’entreprise. Au regard des conséquences de son erreur, on peut imaginer sans peine la souffrance qui fut la sienne. Il est donc de l’intérêt personnel de chaque collaborateur de se soucier de cybersécurité.

  3. Se protéger est plus facile qu’il n’y parait
    Et c’est la bonne nouvelle, si les pirates vont faire preuve d’ingéniosité et d’expertise pour perpétrer leurs attaques, les déjouer s’appuie sur quelques règles simples qui, si elles sont respectées, permettront de se défendre efficacement. Après les mauvaises nouvelles des points 1 et 2, il s’agit ici de rassurer et d’expliquer aux utilisateurs que face à cette menace et aux risques qui pèsent sur eux, on ne leur demande pas des choses très compliquées mais simplement le respect de quelques règles et un peu de rigueur. 

L’assimilation de ces messages se trouvera renforcée par de possibles retours d’expérience et exemples en provenance de l’entreprise ou de l’administration dans laquelle travaille le collaborateur. Plus on créera de la proximité avec l’environnement réel de l’utilisateur, plus celui-ci accordera de l’importance aux messages qu’on lui envoie. De la même façon on pourra également prévoir d’inclure dans les campagnes de sensibilisation un certain nombre de supports traitant de la sécurisation de son environnement personnel.

Ainsi lorsqu’on établira son programme de sensibilisation, on pourra prévoir une campagne dédiée à cette prise de conscience et, ensuite, en rappeler régulièrement les éléments importants dans les campagnes suivantes.

Si vous souhaitez en savoir plus sur la façon dont nous mettons en oeuvre ce type de programme chez Conscio Technologies, n’hésitez pas à utiliser le formulaire contact du site.

Lire aussi…