Sensibilisation SSI : S’il ne devait rester qu’une seule raison

La sensibilisation des collaborateurs est de plus en plus mise en avant comme élément indispensable des stratégies de protection de l’information.

Pourtant nous rencontrons encore nombre de responsables en charge de la sécurité qui se heurtent à une forme d’incompréhension ou de déni de la part de leur Direction.


« Enfin cela me semble évident, tout le monde sait ça; ça ne sert à rien; chez nous tout le monde fait naturellement attention… » sont des exemples de réflexions auxquelles nombre de RSSI se trouvent confrontés. Ces réponses de déni cachent souvent des préoccupations budgétaires ou tout simplement une sincère ignorance de l’importance du facteur humain dans la réussite des attaques auxquelles sont soumis quotidiennement nos systèmes d’information.

Pourtant, toutes les études le démontrent, l’impact de la sensibilisation sur l’évolution du nombre d’incidents est majeur.

La solution « Sensiwave » de Conscio Technologies est sélectionnée en 2007 pour son approche innovante de la sensibilisation. Son approche fédératrice a été à la base du choix du Département qui n’avait pas trouvé de moyen technique aussi ludique pour déployer son projet. Un premier déploiement est alors réalisé et rencontre un succès important auprès de l’ensemble des collaborateurs. Grâce à son architecture flexible, la solution Sensiwave est adaptée à chaque type de public et fait référence à des aspects de sécurité en rapport avec leur activité. La solution adresse en effet plus de 126 métiers avec des problématiques, enjeux et vocabulaire différents. La première campagne Sensiwave a permis de mobiliser 40% des agents du Département. Depuis le taux de participation ne cesse d’être renforcé ; d’autant plus que ces actions « coup de poing » sont accompagnées d’un blog dédié à ces problématiques de sécurité et de confidentialité.

Par ailleurs, en France, encore peu de secteurs sont contraints par la réglementation à mener des campagnes de sensibilisation.

Alors si vous vous trouvez dans ce cas, comment amener votre Direction à prendre ce sujet en considération ? Et bien, posez vous et posez lui la question suivante : « Si un incident (perte/vol de données, piratage, usurpation d’identité…) survient à cause d’un défaut de comportement d’un collaborateur de l’entreprise, celui-ci peut il vous dire : « désolé, mais je ne savais pas. » ?  »
Cette réponse peut même être faite de parfaite mauvaise fois mais vous ne pouvez la contredire faute d’argument. Vous ne pouvez opposer à ce collaborateur le fait qu’il a bien suivi une campagne de sensibilisation et qu’il a reconnu avoir compris quels sont les comportements attendus.
Toute sanction devient impossible, vous ne pouvez alors que réparer les dégâts et la responsabilité de l’entreprise est pleine et entière.

Si les conséquences de l’incident déborde des frontières de l’entreprise, cette responsabilité peut même être aggravée par l’absence de mesure prise pour expliquer aux collaborateurs les comportements attendus en matière d’utilisation du système d’information.

Car, en définitive, c’est quand même à l’entreprise de dire aux collaborateurs ce qu’on attend d’eux et de s’assurer qu’ils l’ont bien compris.

Même si l’on peut juger les consignes données simples, il est indispensable de s’assurer de leur diffusion à chacun.

Si la sensibilisation a bien pour objectif de développer dans la durée la culture sécurité dans les organisations, mais que vous avez du mal à la faire prévaloir comme prioritaire et essentielle, alors utilisez cet argument : « C’est quand même à l’entreprise de dire aux collaborateurs ce qu’ils doivent faire. « Evitons le : « Ah mais je ne savais pas moi. »