La sensibilisation n’est pas une option en cybersécurité

Dans bien des organisations, les RSSI auraient de bonnes raisons de ne pas faire de la sensibilisation aux risques cyber une priorité. Cela constituerait cependant une erreur, au vu de l’importance croissante des enjeux.

Pourquoi sensibiliser est-il aussi compliqué ?

La première raison tient aux aspects organisationnels. Le métier de RSSI présente en effet la particularité d’être transverse, de telle sorte que la sensibilisation ne saurait occuper tout son temps de travail. Cette mission ne représenterait que 14% du quotidien du RSSI, si on en croit l’édition 2020 de l’étude « Menaces informatiques et pratiques de sécurité en France » du CLUSIF.

Le RSSI est donc tout en premier lieu confronté à une problématique de temps, à laquelle s’ajoutent parfois des contraintes budgétaires.

Mais au-delà de ces considérations, le vrai challenge du RSSI en matière de sensibilisation consiste à composer avec l’humain, avec deux difficultés.

  • L’attitude des collaborateurs

Il y a ceux qui croient déjà tout savoir, ceux qui ne se sentent pas concernés par la cybersécurité, et même ceux qui refusent, par réticence au changement, de suivre les consignes…face à la variété de ces comportements et l’agacement qu’ils peuvent générer, pas toujours facile pour le RSSI de garder son calme et sa motivation !

  • La posture du RSSI

Sensibiliser revient à mettre en place une campagne publicitaire : il faut savoir identifier ses cibles, trouver le bon discours pour chacune d’elles, puis choisir les bons canaux. Or, les RSSI présentent encore majoritairement un profil technique, raison pour laquelle ils peuvent se trouver confrontés à leurs propres difficultés personnelles (timidité, doutes sur leur potentiel créatif etc.).

 

Les enjeux deviennent trop importants pour être ignorés

Même si la sensibilisation aux risques cyber constitue un challenge, le RSSI se doit de foncer ! C’est d’ailleurs le sens de la seconde mesure du guide de l’ANSSI, qui rappelle à quel point sensibiliser contribue à la mise en place et au maintien d’un bon niveau de sécurité :

« Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. À ce titre et dès son arrivée dans l’entité, il doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de sensibilisation et de formation. »

Cette sensibilisation aux règles de base s’avère d’autant plus essentielle que les pratiques évoluent dans le sens d’une plus grande exposition des entreprises aux menaces en tous genres (source : étude MIPS du CLUSIF édition 2020 précitée) :

  • 36% des entreprises autorisent l’accès au système d’information depuis l’extérieur à partir de postes non maîtrisés (cybercafé, postes personnels)
  • 70% des entreprises autorisent l’accès des collaborateurs via des tablettes ou smartphones personnels (BYOD)
  • 71% admettent l’utilisation de messageries instantanées externes (Skyper, Messenger…)
  • 70 % autorisent l’utilisation des réseaux sociaux externes (Facebook, Twitter, Linkedin…)

En pratique, les salariés de n’importe quelle entreprise sont donc tous susceptibles, par inadvertance ou méconnaissance, de générer des vulnérabilités, avec une liste infinie de mauvaises pratiques : mots de passe trop simples ou notés sur un papier, divulgation d’informations sensibles sur les réseaux sociaux, usage d’un PC portable sans écran de confidentialité lors d’un déplacement en train etc.

Face à de tels dérapages, plus ou moins conscients, la bonne option consiste certes à sensibiliser, mais plus précisément à sensibiliser intelligemment.

 

Les RSSI doivent faire rimer sensibilisation, appropriation et acculturation

La sensibilisation aux risques cyber, comme beaucoup de projets présentant une dimension de conduite du changement, est avant tout une affaire de petits pas. Mais c’est aussi une histoire d’efficacité : quels que soient l’organisation mise en place et les budgets alloués, la sensibilisation ne fonctionne que si les utilisateurs finissent se sentent concernés et responsables ! Pour ce faire, les RSSI disposent de plusieurs leviers à activer.

 

Trouver des soutiens

La cybersécurité étant l’affaire de tous, pourquoi le RSSI devrait-il porter seul le projet de sensibilisation ? Voici les soutiens qu’il peut utilement chercher à obtenir, à différents niveaux de l’organisation.

  • Le top management

Dans le cadre du dialogue qu’il instaure avec sa direction, chaque RSSI aborde nécessairement la question de la sensibilisation. Le sujet ne semble pas passionner le COMEX ? Au RSSI de ruser ! Face à l’argument budgétaire, à lui de dealer des créneaux horaires, durant lesquels il pourra organiser des ateliers ou une prise de parole à moindre coût. Le COMEX doute de l’intérêt des actions proposées ? Qu’à cela ne tienne : le RSSI peut débuter son travail de sensibilisation en piégeant les dirigeants (par exemple en leur envoyant une clé USB), et en leur démontrant par l’exemple ce qui peut arriver quand les individus manquent de prudence.

  • Le service communication

Comment rendre un message sur la cybersécurité accessible, voire ludique ? Quels formats privilégier ? En échangeant avec la communication, le RSSI met toutes les chances de son côté pour obtenir de l’aide sur le plan créatif et technique. Cerise sur le gâteau : cette collaboration est aussi l’occasion de sensibiliser le service sur les risques auxquels certaines de ses pratiques des services exposent l’entreprise (comme le fait de recourir aux services d’agences web sans en informer la DSI par exemple).

  • Le service RH

La cybersécurité est encore très largement présentée comme une contrainte, celle-ci prenant le plus souvent la forme d’une charte informatique que le collaborateur doit signer au moment de son embauche. Cependant, de nombreux salariés, même s’ils ont conscience de s’être engagés à respecter des règles, ont vite tendance à les oublier…Les RH constituent donc de précieux alliés pour le RSSI, qu’il pourra solliciter durant tout le cycle de présence du collaborateur (arrivée, mutation, fin de contrat).

  • Les champions de la sécurité, ou early adopters

Quels sont les managers les plus réceptifs aux discours sur la cybersécurité ? Qui sont les bons élèves dans les équipes ? Le RSSI doit absolument les identifier, car ces « champions » assureront pour lui une partie de la mission d’évangélisation, en assurant la propagation des messages et des bonnes pratiques. Comme en marketing, les individus qui adoptent les premiers une nouvelle tendance réussissent en effet à entraîner dans leur sillage la majorité silencieuse, composée de personnes ayant plutôt un tempérament de « suiveurs »…jusqu’à ce que le mouvement finisse par toucher les plus réfractaires !

 

Utiliser les ressources existantes

Une action de sensibilisation n’a pas besoin d’être coûteuse pour être efficace. Face au manque de moyens (et même de temps), les RSSI ne doivent pas hésiter à recourir à des moyens de sensibilisation déjà existants, ou à greffer leurs actions sur des actions engagées par d’autres services. Voici deux exemples :

  • Campagnes vidéo :  sur Youtube, le groupement d’intérêt public ACYMA (Actions contre la malveillance) plus connu sous le nom « Cybermalveillance » propose gratuitement des vidéos de sensibilisation sur des sujets essentiels (utiliser un mot de passe trop simple, boucher les failles de sécurité en effectuant les mises à jour, le hameçonnage…)
  • Goodies :  l’entreprise prévoit de distribuer des tapis de souris, des calendriers ou des stylos ? Voici des supports peu coûteux dont le RSSI peut se servir pour faire passer des messages brefs, et que les collaborateurs garderont sous les yeux toute la journée.

 

Miser sur ce qui fonctionne !

L’échec des campagnes de sensibilisation aux risques cyber tient souvent au manque de pertinence du moyen de communication choisi. Le RSSI doit donc trier parmi les supports et canaux à sa disposition, avec la grille de lecture suivante.

  • 1er niveau : l’information simple et descendante, par mail, newsletter, conférence ou affichage. Ces moyens ne sont guère efficaces : faute d’être stimulés, les salariés ont tendance à ne pas retenir le message…voire à ne pas l’écouter ou le lire.
  • 2ème niveau : l’information avec un peu plus de mise en scène, par exemple avec de la vidéo pédagogique. Plus accessible que le contenu écrit et plus engageant, ce format peut permettre de diffuser facilement des messages de façon régulière (par exemple, en faisant tourner des vidéos sur les écrans en salle de pause) et marque davantage les esprits.
  • 3ème niveau : l’expérimentation, avec des pratiques telles que l’envoi d’un fichier piégé, de façon à pouvoir expliquer ensuite aux collaborateurs en quoi l’ouverture peut s’avérer dangereuse pour tout le système d’informations. Ce niveau correspond aussi à des opérations « choc » comme le fait de pirater les téléphones avec un SMS durant une convention. Quel que soit le stratagème utilisé, l’effet bénéfique reste le même : les collaborateurs se sentent concernés pour avoir vécu l’expérience et conservent ainsi plus facilement en mémoire la bonne pratique à adopter.
  • 4ème niveau : la gamification, ou le recours aux serious game, qui repose sur l’apprentissage par l’expérience, le salarié étant cette fois acteur à part entière. Original, interactif, ce format représente un investissement notable, mais présente l’avantage de séduire particulièrement la génération Y.

Enfin, la création d’une identité visuelle est un plus ! Elle permettra aux collaborateurs de repérer rapidement les messages sur la cybersécurité, mais aussi d’apprivoiser la notion et de l’intégrer plus facilement dans leur quotidien.

Découvrez Tenacy

Tenacy est la première solution de pilotage de la cybersécurité, conçue par des RSSI pour aider les RSSI dans leur organisation. Plateforme Saas, adaptable et collaborative, elle permet aux RSSI de collecter plus facilement les données auprès des équipes, mais aussi de se libérer du temps pour pouvoir se consacrer davantage aux sujets de fond comme celui de la sensibilisation.

Contactez-nous pour une démo !