Les entreprises multiplient les campagnes de sensibilisation à la sécurité. Pour atteindre les objectifs, plusieurs bonnes pratiques s’appliquent. Les conseils de Dassault Systèmes, d’Orange, du Crédit Agricole et de Michelin, issus d’un événement organisé en novembre 2017 par Getzem Secure, société spécialisée dans la sensibilisation à la sécurité.
Comment valoriser une démarche de formation : l’exemple de Dassault Systèmes
Dans un groupe de technologies comme Dassault Systèmes, la problématique de protection de l’information est cruciale, en particulier celle des données sensibles. « Beaucoup de collaborateurs voyagent, leurs habitudes ne sont pas toujours optimales en matière de sécurité », souligne Thierry Fallourd, directeur sécurité-sureté chez Dassault Systèmes jusqu’en mai 2017.
Surtout lorsque plusieurs générations coexistent : « Les plus jeunes ne sont pas les plus enclins à accepter les contraintes de sécurité et à comprendre la démarche », précise-t-il. Quant à la population d’ingénieurs (presque la moitié des effectifs de Dassault Systèmes), « ils savent utiliser les outils de sécurité, mais il n’est pas évident de les convaincre », ajoute l’ex-directeur sécurité-sûreté.
A cela s’ajoute les effets de la croissance externe qui conduisent à conserver des logiques de fonctionnement héritées de start-up. Dans un tel contexte, « c’est difficile d’homogénéiser la culture sécurité, qui ne se limite pas au système d’information », avoue Thierry Fallourd.
| Les thématiques sécurité des parcours pédagogiques chez Dassault Systèmes | |
| Protection de l’information au bureau |
|
| Protection de l’information en déplacement |
|
| Cybersécurité et discrétion numérique |
|
| Source : Dassault Systèmes | |
Un Serious Game au-delà des formations classiques
Pour sensibiliser à la sécurité, l’ajout de formations, à celles qui existent déjà, n’est pas forcément pertinent. « Empiler les sessions de e-learning ne sert à rien », assure Thierry Fallourd, qui a privilégié les Serious Games, après avoir convaincu la direction générale, ce qui, se souvient-il, « n’était pas simple… » Pour être efficace, l’outil doit être ludique. « Il est basé sur des histoires vraies, par exemple avec des scénarios d’ingénierie sociale, sinon on tombe dans le syndrome « c’est arrivé chez les autres, mais pas chez nous, car nous sommes mieux protégés » », explique l’ex-directeur sécurité-sûreté. Le taux de participation a été de 90 %.
« Le Serious Game a renforcé la culture de la sécurité, dans le cadre d’un plan de sensibilisation et de formation, les utilisateurs ont été très satisfaits. » Il a été adapté à trois environnements de travail : au bureau, en mobilité, pour le poste de travail. Pour chacun, trois thèmes sont associés et, pour chacun de ceux-ci trois modules, soit, au total, 27 modules et 101 bonnes pratiques pour protéger l’information.
La certification pour ancrer les comportements
Mais assimiler la culture sécurité n’est pas suffisant, notamment pour certaines populations d’utilisateurs. Dassault Systèmes a mis en place un mécanisme de certification. « C’est un énorme travail en amont, il faut segmenter les populations, par exemple entre les nouveaux arrivants, les commerciaux grands comptes, les professionnels de la finance, cibles de l’ingénierie sociale », précise Thierry Fallourd.
Les objectifs pédagogiques sont définis en commun avec la DSI et le RSSI, un référentiel est construit en fonction des populations et des cibles. « A chaque association entre une population et un type de risques correspond un parcours pédagogique », ajoute-t-il.
Comment mesurer l’impact des campagnes de sensibilisation : l’exemple d’Orange
Pour Hugues Craipeau, RSSI de Orange Innovation Marketing & Technologie, mesurer la valeur des campagnes de sensibilisation à la sécurité est un « véritable travail d’orchestration qui prend en compte trois phases : avant, pendant (suivi, accompagnement) et après (bilan, capitalisation). » Plusieurs outils de mesure peuvent être utilisés. D’abord, une mesure de façon standardisée, pratique intrusive qui consiste à utiliser un référentiel lors d’un examen. « Une telle approche présente l’avantage de situer une personne par rapport à des attendus, mais c’est une démarche lourde qui suppose aussi d’élaborer un référentiel », précise Hugues Craipeau.
Ensuite, on peut utiliser une mesure de façon déduite : dans ce cas, les conséquences des apprentissages sont évaluées, soit de façon intrusive, avec une mise en situation au travers d’études de cas (par exemple : « Que faites-vous si vous trouvez une clé USB abandonnée ? »), soit de façon non intrusive, avec une évaluation des changements de comportement, par exemple en abandonnant des clés USB infectées pour étudier comment les individus réagissent lorsqu’ils la trouvent. « L’inconvénient est que le champ d’évaluation est réduit », assure Hugues Craipeau. Enfin, on peut recourir à l’autoévaluation : « Cette approche implique les apprenants, c’est un levier de motivation, l’individu participe et apprend mieux », résume-t-il.
Quelques bonnes pratiques de mesure
La mesure n’est pas une conséquence, mais un facteur de valorisation et une démarche marketing qui supposent de se demander : que veut-on obtenir comme message issu de la mesure ?
- Mesurer c’est être en capacité d’accepter de rendre visible les lacunes.
- Positionner la mesure, non pas comme un symbole de l’autorité, mais comme un repère dans le travail.
- Rester transparent avec ce que l’on doit réellement mesurer et diffuser, de quelle manière et pour quelles raisons.
- Évaluer est nécessaire pour faire participer les individus à l’élévation de la performance.
- Capitaliser sur les résultats pour affiner les contenus et la méthode.
- Communiquer régulièrement.
- Intégrer l’évolution du contexte, l’usure des connaissances et la transformation des menaces.
- Il est préférable de mesurer le progrès plutôt que le mirage d’une performance.
- Évaluer pour les personnes et pas les personnes.
- Maximiser les évaluations non intrusives.
- Positionner l’erreur comme inhérente à l’apprentissage et comme une valeur constructive.
- Multiplier les formes d’évaluation.
- Exprimer clairement les évaluations intrusives.
- Publier des résultats globaux de progrès et proposer à chacun une évaluation personnelle.
Source : Orange.
Prendre en compte les biais de l’évaluation
Pour le RSSI, évaluer la sensibilisation à la sécurité, c’est se confronter aux illusions, avec le problème de la valeur des classements, des dérives potentielles de jugement entre les évaluateurs et dans le temps, ou encore de la confusion fréquente entre mesure et objectif. « La note n’a pas de valeur absolue et lorsque l’objectif devient la mesure, on va tout faire pour avoir la bonne mesure, les notes ne doivent jamais devenir l’objectif », indique Hugues Craipeau. En outre, assure-t-il, « l’évaluation comporte une dimension psychologique : soit elle renforce, soit elle démobilise. » Si tout le monde a de mauvaises notes, personne ne se fatiguera pour progresser ; si tout le monde à 20/20, il y aura inévitablement un relâchement. « Il faut plutôt communiquer sur le fait que les individus sont plutôt bons, mais pas trop. C’est le même discours qu’il faut tenir vis-à-vis du comité de direction et de la direction générale, de sorte qu’elle continue à faire confiance aux équipes sécurité pour progresser. »
Privilégier la communication engageante : les exemples du Crédit agricole et de Michelin
Le Crédit agricole a engagé, depuis 2015, un programme de renforcement de la sécurité, baptisé CARS (Crédit Agricole Renforcement de la Sécurité) autour de sept filières :
- La sécurité des services externalisés.
- La protection des données sensibles.
- La maîtrise des systèmes vitaux.
- La communication et la sensibilisation.
- Le renforcement des productions.
- La gouvernance, politique et organisation.
- La détection et le traitement des incidents.
« Nous avons initié les actions de sensibilisation en créant une identité, avec un logo et une marque (Surf Clean), car il a fallu se faire connaître », résume Evelyne Bouttier, responsable sensibilisation au Crédit agricole. Ensuite, des jeux ont été organisés, des newsletters produites : « Nous avons organisé une campagne de publication d’articles sur un rythme quinzomadaire, en mêlant les sujets professionnels et personnels, les collaborateurs se sont ainsi sentis davantage concernés », détaille-t-elle. En outre, une douzaine de courtes vidéos ont été produites, en parallèle à la formation obligatoire des 140 000 collaborateurs sur les bases de la cybersécurité, dont 100 000 sont d’ores et déjà formés. « Nous n’avions jamais osé une formation à si grande échelle sur la sécurité », reconnaît Evelyne Bouttier.
| Les types de risques selon les populations | |
| Types de populations | Principaux types de risques |
| Tous les collaborateurs |
|
| VIP |
|
| Assistantes |
|
| Agents | Clés USB infectées |
| Nomades |
|
| Développeurs |
|
| Middle management |
|
| Source : Michelin. | |
Influencer les comités de direction
La sensibilisation passe également par les comités de direction. « Nous privilégions un support basé sur des iPad, nous nous basons sur des exemples concrets pour leur montrer comment ils peuvent être des cibles et faire redescendre auprès de leurs équipes les messages clés, l’idée étant de valoriser les collaborateurs qui ont les meilleures pratiques et pas seulement ceux qui finissent leurs projets dans les délais. Intervenir dans les comités de direction est également utile pour éviter de sacrifier les budgets sécurité lors des arbitrages… », explique Evelyne Bouttier, qui a également initié une campagne de faux phishing et prévoit, pour 2018, l’utilisation d’un Serious Game. Selon la responsable sensibilisation, « après deux ans, l’image de Surf Clean est reconnue, les collaborateurs connaissent les principaux messages de sécurité, même si les comportements ne changent pas assez vite. Il faut encore que le savoir se transforme en action… »
Segmenter selon les types de population
Michelin a élaboré un plan de communication sur la sécurité, adapté selon les régions, les périmètres, les priorités, les types de population et les rythmes de mise à jour. « Entre les idées et l’action, il y a toujours un fossé », affirme Alexandra Levecque, responsable sensibilisation de Michelin, qui privilégie la communication engageante. De quoi s’agit-il ? « C’est le fait d’amener les individus à agir et à s’impliquer pour les inciter à réaliser des actes engageants (remplir un questionnaire, participer à un quiz, obtenir une certification…) qui ne seraient pas réalisés spontanément », explique Fabien Girandola, psychologue social de la communication à l’université d’Aix-Marseille. Le comportement est déterminé par plusieurs facteurs, notamment l’intention : « Lorsque l’on a l’intention de faire une action, le comportement suit-il ? Non, en moyenne une fois sur deux. C’est donc important de mesurer l’intention qui est elle-même déterminée par d’autres facteurs, par exemple l’opinion de l’individu envers le comportement à réaliser, les normes subjectives, les pressions sociales, la culture d’entreprise ou la façon dont on a confiance en soi pour mettre en œuvre une intention », explique le psychologue.
Un exemple de message de sensibilisation suite à une campagne de faux phishing
Exemple de communication engageante : une campagne de faux phishing. Chez Michelin, une telle campagne a donné des résultats positifs. « Il a été proposé à ceux qui ont cliqué sur le message de se former et cela a été un succès », assure Alexandra Levecque. Autre initiative de communication engageante : la mascotte sécurité. Lorsqu’un collaborateur a un comportement non sécuritaire, la mascotte est posée sur son bureau.
La communication engageante ne s’improvise pas. Pour favoriser le passage des idées aux actes, il convient de se poser au préalable les questions de base : quelles informations veut-on transmettre ? Quels sont les meilleurs canaux, outils, médias ? Quel est le public ? « Le destinataire de la communication n’est plus un récepteur mais un acteur, le côté persuasion est important, cela demande de l’effort et de l’expertise : on ne rédige pas un message sur un coin de table, et il faut le tester avant de le généraliser », conseille Fabien Girandola.