Sensibilisation à la sécurité de l'information 2.0

1 379 vues

Publié le

Les campagnes de sensibilisation à la sécurité de l’information ont encore très peu d’impact dans les entreprises, et ce à cause de facteurs intrinsèques (manque d'expérience managériale, défaut de créativité...) comme extrinsèques (mauvais positionnement hiérarchique, changement générationnel...). Ce livre blanc se penche sur cette problématique, et donne des clés pour comprendre les principes de gestion du changement.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 379
Sur SlideShare
0
Issues des intégrations
0
Intégrations
70
Actions
Partages
0
Téléchargements
52
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sensibilisation à la sécurité de l'information 2.0

  1. 1. LIVRE BLANC Sensibilisation à la sécurité de l’information 2.0 LIVRE BLANC - SENSIBILISATION 2.0 / PAR MATTHIEU BENNASAR, JULIEN BRIGAUD & LÉTITIA COMBES
  2. 2. Sensibilisation à la sécurité de l’information 2.0 Par Matthieu Bennasar Julien Brigaud Létitia Combes
  3. 3. Pour aller à l’essentiel L’IDÉE EN BREF L’échec des campagnes de sensibilisations à la sécurité de l’information menées par les RSSI provient d’une part de facteurs qui leur sont intrinsèques (manque d’expérience managériale, défaut de créativité, incompréhension des principes de gestion du changement, difficulté dans l’art de communication et manque d’évaluation de l’ efficacité des campagnes) et d’autre part de facteurs extrinsèques (mauvais positionnement hiérar- chique ou fonctionnel, changement générationnel, émergence de la génération Y). Ce livre blanc se penche sur deux de ces facteurs et donne des clés pour comprendre les principes essentiels de gestion du changement ainsi que les spécificités de la génération Y afin de définir une stratégie efficace de sensibilisation à la sécurité des systèmes d’information. L’IDÉE EN PRATIQUE LA GESTION DU CHANGEMENT : PAS SI SIMPLE… PRINCIPE 1 Nous ne sommes pas égaux face au changement Des groupes d’utilisateurs peuvent être identifiés en fonction de leur attitude et de leur niveau de résistance intrinsèque face à un changement. PRINCIPE 2 Le changement se propage comme une contagion sociale L’adoption du changement ne se propage pas comme une fonction linéaire des efforts consentis pour le provoquer, mais plutôt comme une infection virale, à partir d’un seuil, grâce au basculement de groupes de même attitude (Cf. Principe 1). PRINCIPE 3 La stratégie d’implémentation du changement tiendra avantageusement compte des principes 1 et 2 Ces principes permettent l’élaboration d’une stratégie type de gestion du changement et particulièrement pertinente pour sensibiliser la génération Y. LA GENERATION Y : DEFINIR UNE TACTIQUE ADAPTEE L’équipe Lexsi a mis en évidence 4 caractéristiques des Y et propose des solutions pour s‘adapter à cette génération. Caractéristiques des Y Solutions Convaincre Des utilisateurs qui ne respectent pas les règles s’ils ne les comprennent pas Des utilisateurs peu persévérants Conseils pratiques Des solutions pour expliquer, démontrer, donner des exemples Communiquer Des supports nombreux et variés : films de sensibilisation dans les salles de pause, séance de chat avec le DSI, texto d’alertes, ateliers sécurité, etc. Faire court Des règles courtes sous forme de quizz ou de teasing Faire original Des utilisateurs nomades et connectés Penser interactif Des utilisateurs avertis qui pensent tout connaître Tester les utilisateurs Des supports inhabituels : twitter, concours, réseaux sociaux, serious games Des solutions ludiques et flexibles : e-learning, serious games Des tests grandeur nature
  4. 4. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 2 POURQUOI LES SENSIBILISATIONS A LA SECURITE DES SYSTEMES D’INFORMATION NE PRODUISENT PAS LES EFFETS ESCOMPTES ? Les campagnes de sensibilisation à la sécurité des systèmes d’information atteignent rarement leurs objectifs. La difficulté à sensibiliser à ce sujet est un challenge que la plupart des RSSI peine à relever. Ils se disent démunis face à une démarche qui les dépasse trop souvent. Leur positionnement hiérarchique ne leur permet que rarement de travailler au bon niveau d’influence au sein des entreprises. Leur parcours bien souvent technique ne les a doté ni de l’expérience managériale ni de la créativité nécessaires au développement de campagnes de sensibilisation « accrocheuses ». Les principes de la communication en entreprise leur sont largement inconnus1. Ils sont pour la plupart étrangers aux théories de conduite du changement sur lesquelles doivent s’appuyer des campagnes réussies. L’émergence des comportements de la génération Y les déstabilise et ils ont du mal à trouver les bons canaux de communication. Enfin, ils peinent à évaluer l’efficacité des sensibilisations. Pour important qu’ils soient, tous les facteurs d’échecs ne seront pas traités dans ce livre blanc. Nous proposons ici quelques réflexions pour comprendre deux d’entre eux, ceux que notre expérience récente nous pointe comme les « facteurs clés d’échec » sur lesquels les RSSI ont la main : la mauvaise compréhension des principes de gestion du changement et la difficulté à s’adapter aux spécificités de la génération Y. UN CONSTAT SANS APPEL : LES CAMPAGNES « CLASSIQUES » MANQUENT D’IMPACT Les campagnes « classiques » manquent cruellement d’impact. Conçues pour la plupart comme des cours sur les principes de la sécurité de l’information, elles n’atteignent pas leurs cibles. Et pour cause : on a du mal à retenir des messages perçus comme rébarbatifs, présentés via des moyens éculés par des orateurs timides qui ne font pas participer leur audience. Les observateurs s’accordent à dire qu’après une conférence (le vecteur de sensibilisation le plus courant), 80% de la masse d’information est oubliée en 2 jours2. A terme, 90% des messages clés sont oubliés… Tout démontre que c’est l’implication de la personne face à l’information reçue qui est la clé de l’appropriation des messages. Une attitude passive est insuffisante. Au contraire, un comportement actif joue largement sur la capacité à garder les informations en mémoire. C’est donc en impliquant les utilisateurs au travers de campagnes de sensibilisation d’un genre nouveau qu’on peut espérer éveiller durablement les consciences à la sécurité de l’information. est donc incontournable pour élever le niveau de sécurité des entreprises. La part sans cesse croissante de la génération Y dans la population active3 ne fait qu’augmenter la difficulté à sensibiliser les utilisateurs des systèmes d’information. Les comportements de ces nouveaux utilisateurs nécessitent de repenser en profondeur les principes de sensibilisation actuels. Comprendre la génération Y et ses caractéristiques est une condition essentielle pour sensibiliser en 2.0. Généralement on retient : Passif 10% d’une conférence 20% d’une vidéo 30% d’une démonstration 50% de ce qui se dit dans un groupe où l’on participe 75% de ce que l’on a pratiqué soi même Répéter les mêmes messages, en utilisant les mêmes vecteurs aboutit aux mêmes échecs : tous les progrès faits sur les solutions et processus de sécurité peineront toujours à couvrir les risques tant la sécurité est avant tout une question de jugement et de comportement. Comprendre comment conduire un changement durable des consciences 90% de ce que l’on enseigne aux autres Actif Traduit et adapté par LEXSI sur le modèle du National Training Laboratorie (Bethel) Figure 1 : Impact des vecteurs de formation sur l’appropriation du message 1. Rien n’est plus près d’une campagne de sensibilisation qu’une campagne de publicité. L’efficacité de la sensibilisation sera grandement augmentée si une agence de communication est associée au projet 2. The workplace learner, Rothwell, 2002 3. La génération Y représentera plus de 40% de la population active en France en 2015 et 75% en 2025 (Benjamin Chaminade, expert de la génération Y, chiffres issu du salon Prospectives recrutement en 2020 et Business and Professional Women’s Foundation (2011))
  5. 5. 3 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 LA GESTION DU CHANGEMENT : PAS SI SIMPLE… Sensibiliser à la sécurité des systèmes d’information revient à piloter un changement de culture et d’habitudes. Si les moteurs du changement et l’attitude face au changement ont été largement théorisés, comprendre trois principes permet d’améliorer radicalement les campagnes de sensibilisation : I PRINCIPE 1 Nous ne sommes pas égaux face au changement I PRINCIPE 2 Le changement se propage comme une contagion sociale I sociale. Ils avanceront à reculons, quand ils deviendront isolés dans leurs positions. I Les résistants : ils rejettent fortement le changement et se battront pour l’éviter. Souvent suspicieux, le changement représente une menace pour eux. On ne s’adresse jamais aux résistants. Ils finissent par rejoindre ou sont réduits au silence par leur marginalisation. PRINCIPE 3 La stratégie d’implémentation du changement tiendra avantageusement compte des principes P1 et P2… Le graphique ci-dessous représente la répartition généralement admise de ces différents groupes dans une population. Attitudes face aux changements PRINCIPE 1 Nous ne sommes pas égaux face au changement La population générale peut être répartie en fonction de son attitude et de son niveau de résistance à un changement. En partant des moins réticents, on trouve : I Les innovateurs : dynamiques, prêts à prendre des risques pour innover, ils seront les moteurs du changement. Ils sont particulièrement faciles à atteindre car ils sont demandeurs d’informations. Cependant, les innovateurs sont souvent peu « connectés » aux autres catégories. I Les optimistes : ils adhèrent rapidement aux nouvelles idées et sont faciles à convaincre. Ce sont souvent des leaders d’opinion très « connectés » aux autres groupes, qu’on pourra utiliser avantageusement en relais. I La majorité silencieuse : ils suivent le vent et les positions des leaders d’opinion. Ils adhèreront au changement si on les y incite. Mais il ne faut compter sur eux pour prendre un risque a priori ou pour ébruiter les nouvelles : ce sont des suiveurs avant tout. I Les pessimistes : leur vision du changement est très négative. Le changement est subi, vécu comme une nécessité imposée par la pression Distribution de fréquence de la population 40% 35% 30% 25% 20% 15% 10% 5% 0% Innovateurs Optimistes Majorité silencieuse Pessimistes Résistants Figure 2 : Distribution des attitudes face au changement Savoir tirer profit de l’existence de ces différentes catégories et de leurs interactions devient un atout majeur pour définir une stratégie de sensibilisation.
  6. 6. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 PRINCIPE 2 Le changement se propage comme une contagion sociale La logique voudrait que l’adoption d’un changement par la population concernée soit proportionnelle à l’effort et au temps employés. Il n’en est rien. Sous peine de se décourager, il est important de comprendre que le changement se propage comme une contagion sociale, c’est-à-dire, très peu, jusqu’à un seuil épidémique à partir duquel tout bascule. Les études académiques sur le sujet modélisent la contagion sociale selon une courbe donnée ci-dessous. PRINCIPE 3 La strategie d’implementation du changement tiendra avantageusement compte des principes 1 et 2 En se basant sur les deux principes précédents, il est possible de définir une stratégie typique d’implémentation du changement, résumée dans le graphique ci-dessous : d’abord les « champions », puis la masse précoce pour ensuite entrainer la majorité silencieuse. Population ayant adopté le changement Résistance Résistants Faible 100% Courbe attendue Pouvoir d’influence Faible Forte Fort Zone de contagion 4 Masse silencieuse Champions Masse précose Courbe effective Figure 4 : Stratégie gagnante de mise en œuvre du changement t1 t2 Temps et effort Figure 3 : La courbe en S de la contagion sociale Dans un premier temps, les efforts mis en œuvre ne semblent pas porter leurs fruits. La courbe d’adoption effective ne rejoint la courbe attendue qu’après des efforts et un temps certain. Une analyse trop précoce des résultats peut aboutir à des décisions désastreuses, comme stopper une campagne en t1. Une fois le phénomène d’adoption du changement enclenché (>t1), la majorité de la population bascule, entrainant rapidement avec elle la minorité, dans un effet de domino : c’est la contagion sociale. Les informations et idées se propagent comme des infections virales à travers les réseaux de personnes. Le basculement des groupes de même attitude (Cf. Principe 1) face au changement participe à créer cette courbe en S. Quel lien peut-on établir avec le Principe 1 ? Le diagramme ci-dessous illustre les relations entre les différentes catégories de réaction au changement. Innovateurs Champions Optimistes Majorité précose Majorité silencieuse Pessimistes Majorité silencieuse Résistants Résistants Figure 5 : Relations entre les catégories du principe 1 et ceux du principe 3
  7. 7. 5 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 Commencer par convaincre les plus enclins au changement permet d’acquérir du soutien dans la population. Il est pertinent de viser dans un premier temps les personnes les plus influentes. Dans cette catégorie, on distingue souvent les connecteurs et les experts. Les connecteurs ont un grand réseau de connaissances et ont la capacité de faire passer des informations. Les experts quant à eux accumulent les connaissances et apprécient de rendre service en informant les gens. Fort de l’aide de cette première partie de la population, on peut ensuite convaincre tous ceux dont le niveau de résistance est faible mais dont l’influence est limitée (certains innovateurs et optimistes et une partie de la majorité silencieuse). C’est la majorité précoce. La résistance de la masse silencieuse est beaucoup plus forte mais cette population est, par nature, influençable. On s’appuiera alors sur le principe 2, de contagion sociale, pour faire basculer la masse silencieuse. Le combat est gagné, même sans faire face aux résistants. Convaincus du danger du changement et disposant d’une forte capacité de nuisance, ils pourraient autrement influencer négativement la population et faire échouer vos efforts. Ils rejoindront peutêtre d’eux-mêmes les autres ou se retrouveront inoffensifs car isolés. Cette théorie, valable pour tout changement, est particulièrement pertinente pour sensibiliser la génération Y. La suite de ce Livre Blanc se concentre sur cette génération. MIEUX COMPRENDRE LA GENERATION Y De plus en plus présente dans la population active, la génération Y est née avec la troisième révolution industrielle, avec les nouvelles technologies et Internet. Globalement, ce sont les personnes nées entre de la fin des années 1970 et les années 1995. Les Y représentent environ 13 millions de français aujourd’hui. En plus de leurs connaissances techniques, les Y ont une vision du monde et un raisonnement bien différents des générations précédentes. Ces mots vous ressemblent-ils ? D’ici 2015, la génération Y représentera plus de 40% de la population active en France4. En utilisateurs avertis des technologies de l’information, ils bousculent les modes d’utilisation du SI de l’entreprise, entrainant l’émergence de risques nouveaux liés, par exemple, à leur forte autonomie ou leur façon de traiter les problématiques de confidentialité. Pourquoi Y ? Engagement citoyen Connecté INFORMATION INSTANTANÉE Mobile Rapidement ennuyé Adaptable IMPATIENT MAINTENANT, PAS DANS 5 MIN Indépendant Gratification immédiate D’après : Benjamin Chaminade ALORS VOUS ÊTES SANS DOUTE UN Y ! 4. Projection de population active, INSEE Y pour la forme que font les fils des écouteurs des baladeurs qu’ils ont été les premiers à utiliser. Y tout simplement pour succéder à la génération X. Y pour la prononciation en anglais de « Why » qui signifie pourquoi. les Y sont bien connus pour s’interroger sans cesse sur la raison d’être des choses.
  8. 8. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 DES UTILISATEURS QUI NE RESPECTENT PAS LES REGLES S’ILS NE LES COMPRENNENT PAS Selon une étude de Cisco5, 70% des jeunes employés sondés ont admis ne pas respecter les politiques de sécurité informatique d’une manière ou d’une autre. Pour autant, ils admettent bien être au courant de leur existence. Ce chiffre est en nette augmentation par rapport aux générations précédentes. Mais, les Y veulent comprendre les règles avant de les respecter. S’ils ne comprennent pas, ils vont s’opposer et essayer de contourner… Ce sera une faille supplémentaire dans la sécurité. Bien que difficile à influencer, cette façon de penser contraint les RSSI à faire preuve de pédagogie et à placer le curseur au bon endroit : trop de règles mal expliquées et les Y vont s’opposer ; pas assez de règles et l’organisation ne sera pas assez sécurisée… DES UTILISATEURS PEU PERSEVERANTS Alors que la persévérance était l’apanage de la génération X, la génération Y est souvent critiquée pour son manque d’obstination et d’assiduité6.On parle souvent de la génération Y comme peu fidèle à son entreprise et ayant tendance à partir au moindre problème. Les Y passent facilement d’un sujet à l’autre, ont du mal à se concentrer, arrivent rapidement à saturation... Il est donc bien difficile de leur transmettre des messages. Et qu’il est difficile de convaincre ces impatients de travailler sur des sujets de fonds tels que la sécurité des systèmes d’information ! 5. Connected World Technology Report, 2012 6. Le zapping comportemental est souvent évoqué à propos de la génération Y. 6 DES UTILISATEURS NOMADES ET CONNECTES Nés avec internet et les technologies de l’information, les Y sont des utilisateurs « connectés » rompus au nomadisme, férus de BYOD (Bring Your Own Device), toujours premiers sur les blogs et les chats. D’ailleurs, ils n’ont jamais rien connu d’autre. Pourquoi les Y devraient-ils respecter une procédure pour se connecter à leur courriel professionnel depuis chez eux quand ils peuvent toujours se connecter d’où ils veulent ? Pourquoi ne pourraientils pas accéder à une information confidentielle depuis l’aéroport ou la gare ? C’est tellement pratique…. La génération Y raisonne différemment des générations précédentes. DES UTILISATEURS AVERTIS En cas de problème informatique, les collaborateurs X appellent la DSI au secours. La logique des Y est différente… Tous ont des connaissances en technologie et à la première question, ils cherchent la solution sur un forum : pas la peine d’appeler le support informatique. Cette nouvelle génération maîtrise plus les sujets technologiques que la précédente. Inévitablement, elle a l’impression de maîtriser le SI et ne se donne pas la peine de lire les recommandations de sécurité… Mais en même temps que les utilisateurs ont changé, les menaces se sont également adaptées et les vulnérabilités se sont multipliées. Ainsi, même si l’arrivée de nouveaux utilisateurs change la donne, elle ne diminue pas les risques, bien au contraire.
  9. 9. 7 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 UNE NOUVELLE TACTIQUE COMMENT S’ADAPTER AUX Y ? Des utilisateurs peu persévérants Faire court et original Des utilisateurs qui ne respectent pas les règles s’ils ne les comprennent pas Convaincre, communiquer et impliquer Adaptation et Pédagogie sont les clés ! Finis les courriels détaillant les règles de sécurité, terminées les sensibilisations par la lecture de fiches de « bonnes pratiques » : il est essentiel d’expliquer, de démontrer, de donner des exemples… Utiliser les failles de sécurité d’autres entreprises qui ont fait l’actualité7 permet de prouver aux utilisateurs qu’aucune entreprise n’est à l’abri. La soif de connaissance des Y est une opportunité pour communiquer encore et encore. Les Y veulent savoir. Ils sont habitués à recevoir des informations en permanence avec les médias, les réseaux sociaux, et l’Internet. La pédagogie, c’est l’art de répéter les choses dit l’adage. Films de sensibilisation sur les écrans des salles de pause, newsletter de la sécurité, séance de chat avec le DSI, texto d’alertes sur les téléphones professionnels, ateliers sécurité, etc. C’est en inondant les Y d’informations qu’ils prendront conscience que la sécurité est une préoccupation essentielle de leur entreprise, que les problèmes n’arrivent pas que chez les autres et qu’ils sont concernés pour limiter les risques. La génération Y aime se sentir impliquée, être au cœur de l’action. L’entreprise et ses responsables de la sécurité sont là pour leur prouver qu’ils sont les acteurs de la protection de l’entreprise et que sans leur soutien l’entreprise est vulnérable. Il est bon de les convaincre par l’exemple. Areva en 2011 s’est découvert victime d’un piratage de plus de deux ans : certaines sources disent que les hackers auraient profité des mots de passe trop faibles des utilisateurs. La sécurité d’une entreprise dépend bien de chacun de ses employés. 7. Phishing chez EDF, déboires de Sony et Renault, attaques d’Anonymous, etc. Tout d’abord, il s’agit de faire simple et court. Les utilisateurs 2.0 ont tendance à passer d’un sujet à l’autre facilement. Il faut les accrocher et aller rapidement à l’essentiel pendant les quelques minutes de concentration qu’ils accorderont au sujet. Ensuite, la clé du succès est de surprendre et d’intriguer les interlocuteurs. Il est essentiel de faire preuve d’originalité : tweet, intranet, réseaux sociaux, serious games, concours, etc. Tous les médias actuels et futurs sont efficaces pour les toucher. Pourquoi ne pas twitter des messages ? L’utilisation de l’intranet peut permettre de faire apparaitre chaque jour un message ultra court : une règle directe ou sous forme de quizz ou de teasing menant les utilisateurs vers une page spécifique. Des utilisateurs nomades et connectés Penser interactif Un utilisateur X retient beaucoup mieux s’il participe. Un utilisateur Y ne retient que s’il participe… Les outils d’e-learning et de serious games ont fait d’énormes progrès. Pour une génération née avec les jeux vidéo, participer à un serious game afin de mieux comprendre la sécurité est bien plus facile. Ils ont l’habitude de ce type de support. Apprendre en s’amusant est un des moyens de les toucher directement et de les faire s’intéresser à la sécurité. Afin de s’assurer que les utilisateurs s’impliquent et participent, la meilleure solution est de chercher à s’adapter à eux en innovant et en leur proposant d’évoluer sur un terrain qu’ils maitrisent. Quelques offres commerciales existent d’ailleurs déjà.
  10. 10. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 Enfin, les utilisateurs à qui s’adressent ces campagnes de sensibilisation sont des utilisateurs connectés et nomades : travailler de chez eux ou depuis le train est tout à fait normal pour eux. Leur proposer des conseils sur l’attitude à avoir à la maison ou dans les lieux publics est essentiel pour répondre à leurs attentes. Des utilisateurs avertis qui pensent tout connaître ? Les tester ! Les Y se moquent de la sécurité, prétextant qu’ils connaissent déjà ses enjeux et risques : pourquoi ne pas les tester ? Un quizz risque de ne pas être suffisant : les Y connaissent suffisamment les technologies de l’information pour répondre correctement au quizz sans pour autant respecter les politiques de sécurité au quotidien. Il faut aller plus loin en les testant en grandeur nature, pour mettre en évidence leurs limites et remettre en cause leur confiance en eux. Par exemple, préparer un faux mail de phishing8 demandant à l’utilisateur des informations qui seront récoltées sur un site dédié est une idée de test grandeur nature. Peu de temps après l’envoi du mail, une liste d’utilisateurs tombés dans le piège pourra être obtenue. Les statistiques de réponse suffiront certainement à montrer aux collaborateurs Y quelques déficiences. Attention cependant, ce type d’attaques « internes » ne doit surtout pas être utilisé comme prétexte à sanction. S’ils doivent apprendre à se méfier des attaques externes, les Y doivent savoir que la DSI est de leur côté et qu’ils n’ont rien à craindre d’elle. LES VECTEURS DE SENSIBILISATION Le tableau ci-après décrit un certain nombre de vecteurs de sensibilisation. Ces vecteurs sont-ils efficaces vis-à-vis de la génération Y ? Pourquoi ? Ce tableau n’est pas une liste exhaustive des vecteurs de sensibilisation, mais synthétise plutôt les grandes pratiques actuelles. 8. Le phishing ou hameçonnage est une technique utilisée par les fraudeurs pour obtenir des renseignements personnels en faisant croire à la victime qu’elle s’adresse à un tiers de confiance 8
  11. 11. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 9 Type 1 Utiliser le Top Management Détail Rencontrer le top management et le sensibiliser en direct sur l’importance de la sécurité. Demander leur appui direct (communications à leur n-1 puis n-2, etc.) et indirect (afin de pouvoir s’appuyer sur leur volonté dans vos prochaines communications) Avantages / Inconvénients + Permet d’obtenir les soutiens les plus forts de la société + Permet de montrer que la sécurité est un challenge auquel l’entreprise entière va se confronter : les Y aiment les challenges ! - C’est utile si c’est une ligne au bas d’un message « approuvé par la direction générale », mais ça marche bien mieux s’il y a une réelle implication du top management ! 3 Mails E-learning Communiquer les règles générales de sécurité par mail de manière régulière ou ponctuelle. + Permet de toucher tous les collaborateurs d’un coup par un message uniforme Les mails peuvent être dirigés vers certaines catégories ou à l’ensemble des collaborateurs 2 - N’a que peu d’impact - Rarement lu en détail - Peut être considéré comme du spam Lancer une campagne via un site dédié permettant à chaque cible de suivre un parcours personnalisé. Le e-learning peut être associé au goodies pour augmenter la participation. + Permet de toucher l’ensemble des collaborateurs de manière personnalisée et interactive (proactivité) + Permet un suivi fort + Flexible et adaptable aux disponibilités de chacun : les Y aiment faire ce qu’ils veulent quand ils veulent ! - Utilisé seul, ce média souffre souvent d’un manque de participation 4 5 6 7 Serious Games Utiliser le réseau informel Réseaux sociaux d’entreprises Affichage Lancer une campagne via un site dédié permettant à chaque cible de participer à un jeu en ligne individuellement ou en groupe. Le parcours proposé par le jeu permet à l’utilisateur de prendre conscience des problématiques, de se poser les bonnes questions et d’apprendre sur un sujet de sécurité. + Permet de toucher l’ensemble des collaborateurs de manière personnalisée et permet un suivi fort + Motivant, original et interactif + Apprentissage par l’expérience (proactivité) Rencontrer le middle management et communiquer sur l’importance de la sécurité et sur les grandes règles (notamment lors d’éventuels séminaires). Demander leur appui direct sur leurs équipes + Permet d’obtenir des relais de l’information + Dynamise la communication + Les Y apprécient l’échange grâce aux réseaux Communiquer via les éventuels réseaux sociaux d’entreprises. Innover ou utiliser les canaux de communication innovants pour toucher plus facilement les plus jeunes Diffuser une campagne d’affiche permettant de créer une image visuelle de la sécurité - Certains managers le considèrent comme une perte de temps - Investissement important - Peut être à double tranchant si le middle management n’est pas entièrement convaincu… + Permet de toucher directement les Y + Permet l’envoie d’un message court et percutant - Peut manquer de formalisme pour des sujets sensibles - Complexité de mise en œuvre des réseaux sociaux d’entreprises + Facilite les communications futures + Facile à mettre en œuvre - Impact limité : les Y sont submergés d’image, de vidéos, etc. Génération Y
  12. 12. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 Type 8 9 10 Conférence Newsletter Goodies Détail Mettre en place des conférences permettant de mettre en avant les problématiques de sécurité De manière plus générale, ces évènements peuvent être mis en place pour créer le buzz autour de la sécurité. Avantages / Inconvénients + Sensibilise les « innovateurs » qui pourront relayer vos messages - Ne permet de toucher qu’un périmètre très restreint : la conférence doit cibler un segment très particulier pour avoir de l’impact Communiquer les règles générales de sécurité par les newsletters (générales ou dédiées à la sécurité ou à l’IT) de manière régulière ou ponctuelle. + Permet de toucher tous les collaborateurs d’un coup Adopter une approche physique de la newsletter en utilisant des supports différents (flyers, goodies divers, etc.) comportant des messages courts et percutants. + Permet la création d’un visuel associé à la sécurité + Permet l’adoption indirecte du message + Message mobile (suivant le goodies (stylo), l’employé peut avoir le message en permanence avec lui) - Peu lu donc peu d’impact (passivité) - Peu motivant pour les Y - Peu interactif - Message transmis assez court, doit être utilisé avec d’autres vecteurs 11 Site Intranet/ Extranet Communiquer les règles générales de sécurité par l’intranet du groupe ou l’intranet dédié à l’IT (voire à la sécurité SI) de manière régulière ou ponctuelle. + Permet de toucher tous les collaborateurs d’un coup + Permet de mettre en un même endroit toutes les informations liées à la sécurité - Peu motivant et interactif - Messages souvent noyés dans la masse d’informations : impact limité 12 13 Sensibilisation en ateliers One to One (Coaching) Organiser des sessions de formations en ateliers avec des groupes d’utilisateurs restreints. Ces sessions peuvent avoir des formes diverses. Organiser de séances de coaching avec des utilisateurs clés pour lesquels l’usage de la sécurité est critique. + Transmet des messages marquants + Impact important sur le quotidien + Très interactif - Très chronophage - Complexe à organiser + Suivi personnalisé + Forte assurance de résultats + Transfert d’information de personnes coachées à tous leurs collaborateurs. - Très chronophage 14 15 Test des utilisateurs Vidéos / teasers Mettre en place des systèmes de test des utilisateurs et communiquer abondamment sur le sujet (faux mails de phishing, etc.). + Sensibilisation choc par remise en question + Impact majeur sur le quotidien - Peut être mal interprété par certains utilisateurs (les résultats des tests doivent être rendus avec soin) Réaliser des vidéos de sensibilisation + Mémorable et les mettre à disposition sur YouTube + Permet de toucher un grand public par exemple. Ces vidéos peuvent aussi être projetées dans les salles de pause, à l’entrée du restaurant d’entreprise, etc. Les références, l’humour, la dérision sont - Manque d’impact si la visualisation n’est pas régulière de bons outils pour toucher durablement le public Y. 10 Génération Y
  13. 13. 11 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 Ces vecteurs sont-ils réellement utilisés par les entreprises d’aujourd’hui ? Très peu en fait. Mais quelques exemples originaux montrent une amorce de virage en la matière. Exemple 1 : Un grand laboratoire pharmaceutique a travaillé avec Lexsi pour tester ses utilisateurs sur leur niveau de sensibilisation à la sécurité : une fausse stratégie de phishing a été déployée pendant la période de grippe aviaire. Grâce aux résultats, la DSI a beaucoup appris sur ses utilisateurs et ceuxci ont beaucoup appris de leurs erreurs. Récupérer un PC non attaché sur un bureau ou donner un gage à ceux qui ne verrouillent pas leurs sessions informatiques : voilà quelques pratiques qui ont eu un effet similaire. Exemple 2 : Le Groupement des Cartes Bancaires a préféré l’utilisation d’un serious game. Le département de sécurité des systèmes d’information se dit très satisfait des résultats du déploiement de cette première campagne. Exemple 3 : Une société du secteur tertiaire utilise une tout autre façon de faire : certains messages de sécurité sont présentés aux employés sous forme de saynètes : les équipes inventent ces courtes comédies sur divers thèmes de la sécurité et les interprètent à leurs collègues d’agence, déployant leurs talents d’acteurs. Exemple 4 : Lexsi a conseillé un autre laboratoire pharmaceutique pour créer des teasers vidéo originaux. Des messages courts et des prises de position fortes de la direction générale y figuraient pour éveiller l’intérêt des employés en préparation aux ateliers de sensibilisation. La participation aux ateliers a dépassé les attentes. Exemple 5 : Lexsi a accompagné un groupe de la grande distribution par le biais du benchmarking pour sensibiliser son middle management. C’est en se comparant à ses concurrents que cette population, compétitive par nature, a adopté de meilleures pratiques de gestion de l’information. Exemple 6 : Un grand groupe de l’industrie a choisi Lexsi pour sa stratégie de sensibilisation du comité de direction. Lexsi a proposé une démarche en 3 temps. I Premièrement, après une recherche ciblée, chaque membre du comité a reçu un dossier d’exposition personnelle sur Internet : y étaient présentées les informations publiques récupérables sur Internet sur sa personne ainsi qu’une description des stratégies d’attaque qu’un hacker pourrait mettre en œuvre contre lui. I Deuxièmement, lors d’un séjour groupé du comité à l’hôtel, un pentester Lexsi a collecté les informations récupérables par une plateforme simple de hacking (informations obtenues par l’accès wifi, enregistrement des conversations téléphoniques, etc.). Les résultats présentés ont, une deuxième fois, marqué les esprits. I Troisièmement, une lettre « piégée » contenant une clé USB a été envoyée à chacun, pour tester leur méfiance et marteler le message de sensibilisation. En cas connexion de la clé, un message de sensibilisation apparaissait. La sensibilisation a été une réussite Exemple d’entreprise Laboratoire pharmaceutique Secteur tertiaire Groupement des cartes bancaires Laboratoire pharmaceutique Groupe industriel mondial Grande distribution Exemple de vecteurs utilisés Simulation de phishing Saynètes Serious game Teasers vidéo et ateliers Dossier d’exposition personnelle et stratégies d’attaque I Résultat « d’écoute » I Lettre « piégée » Benchmarking I
  14. 14. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 12 La stratégie de sensibilisation doit par ailleurs s’inscrire dans le temps. Même si le support de sensibilisation est parfaitement adapté au public, les sensibilisations « coup de poing » sont juste cela : un coup marqué dans un temps donné qui nécessite, pour être efficace, d’être prolongé par une stratégie à moyen et long termes LIEN ENTRE STRATEGIE ET VECTEURS : LA TACTIQUE DE SENSIBILISATION Aucune stratégie de sensibilisation ne devrait uniquement passer par un seul de ces canaux. Une stratégie efficace vise à choisir des canaux principaux et secondaires en fonction des phases de la stratégie. Ce n’est pas parce que les Y n’apprécient pas un support de sensibilisation qu’il ne doit pas être utilisé ou qu’il n’est pas pertinent dans certaines circonstances. La tactique de sensibilisation doit être construite dans la durée autour d’une combinaison de vecteurs. Le graphique suivant met en relation la stratégie de changement et la pertinence d’utilisation de ces vecteurs pour optimiser les efforts selon une tactique type. Il met en relation le tableau 1 et la figure 4. Pouvoir d’influence Forte Fort Faible Résistants Masse silencieuse RSE Intranet E-learning Conférence RSE Résistance Newsletter Affichage Mails Test utilisateurs Intranet Test utilisateurs Réseau informel Champions Atelier Newsletter E-learning Faible Top Management Mails Masse précoce Coaching Top Management Serious games Réseau informel Légende : Niveau de pertinence d’un vecteur Coaching RSE Vidéo Goodies
  15. 15. 13 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 CONCLUSION Les risques qui pèsent sur les systèmes d’information des entreprises ne diminuent pas… Le poids du jugement humain dans la sécurité de l’entreprise non plus. Dans notre expérience, seule une sensibilisation efficiente permet de couvrir le facteur humain. La sensibilisation 2.0 demande de remettre en question les méthodes de sensibilisation actuelles, pour assurer que les comportements changent durablement. L’évolution de la maturité des utilisateurs nécessite des approches nouvelles. Il faut garantir l’interactivité de la pédagogie et trouver des vecteurs empreints d’originalité pour capter l’attention. Le soutien du management, s’il était souhaitable hier est devenu indispensable aujourd’hui. Comprendre la cible permet d’ajuster les efforts pour viser juste. Appréhender les principes qui permettent un changement véritable évite les déconvenues. Dans certaines entreprises, ce sont déjà les Y qui prennent en charge la sensibilisation à la sécurité. C’est le cas d’une grande banque française dans laquelle une Y soutient les différents départements pour implémenter la « ludo-pédagogie ». Elle incite et aide les métiers à définir leur campagne en intégrant l’e-learning et les serious games aux techniques habituelles. S’il faut faire face aux changements induits aujourd’hui par la génération Y, il est sûr que de nouveaux défis nous attendent demain avec les générations Z, AA, AB, etc. Certaines des bases exposées dans ce livre blanc seront remises en cause. Il faudra renouveler la réflexion et comprendre les nouvelles cibles. Cette remise en question sera l’occasion de stimuler la réflexion pour améliorer la sécurité dans l’entreprise. Mais les principes de gestion du changement demeureront. Ce livre blanc a été conçu pour apporter des réponses ciblées aux entreprises qui cherchent à s’adapter à la génération Y et, plus largement, pour offrir un cadre de raisonnement pour s’adapter à toutes les générations futures. BIBLIOGRAPHIE I Chaminade, B. (2012) La génération Y, [10/01/2013] I Rothwell, (2002) The workplace learner I Slate.fr I Cisco (2012) Connected World Technology Report I Galunic, C., (2012) Leading Change, INSEAD I Gladwell, M., (2000) The tipping point, How little things can make a big difference I Quester, C. (2010) Les « serious games » au service de la formation à la sécurité, Agefi Hedbo (2011) Piratage d’Areva: des hackers complotistes ou des espions industriels ? [10/01/2013] I 01Informatique, Business & Technologies, (2011) Génération Y, Comment ils font bouger les lignes ?
  16. 16. LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 14 QUELQUES MOTS SUR LEXSI Créé en 1999, LEXSI est un cabinet de conseil indépendant français spécialisé en sécurité informatique et gestion des risques. Axant sa stratégie sur l’innovation, sa singularité réside dans une alliance unique de technologies, de méthodes et de talents, pour préserver les intérêts de ses clients. Cabinet leader sur son marché, LEXSI est implanté à Paris, Lyon, Lille, Singapour et Montréal (Canada) et délivre ses prestations aussi bien en France qu’à l’international. Avec 150 experts à la pointe du secteur de la sécurité informatique, LEXSI intervient à travers 4 pôles de compétences : • Cybercrime : Veille technologique & lutte contre la fraude • Conseil : Conseil en sécurité de l’information et gestion des risques • Audit : Audit des systèmes d’information • Université LEXSI : Formation SSI : Hacking, SMSI, sensibilisation, PCA LEXSI dispose d’un pôle de compétence Management de la Sécurité et Gestion des Risques qui contribue à l’atteinte des objectifs de création de valeur et de protection des entreprises. Nos missions de stratégie de gouvernance de la sécurité incluent : accompagnement des RSSI, gestion des risques, SMSI, tableaux de bord sécurité …. LES AUTEURS Matthieu BENNASAR dirige le pôle Conseil de LEXSI à Lyon. Consultant en résilience d’entreprise, management des risques et sécurité de l’information depuis 14 ans, il a accompagné des clients de tous secteurs et toutes tailles dans la définition de leur stratégie de sensibilisation à la sécurité de l’information. Il est l’auteur de deux ouvrages de référence : « Plan de Continuité d’Activité et Système d’Information » (2006 et 2010, prix AFISI 2006), et « Manager la Sécurité du SI » (2007) tous deux publiés chez Dunod. Matthieu est diplômé de l’Ecole Centrale de Nantes et ancien élève de l’INSEAD. Il enseigne dans différents Masters et a obtenu les certifications MBCI et CISM. Julien BRIGAUD est consultant en sécurité de l’information et continuité d’activité chez LEXSI. Depuis 6 ans, il accompagne ses clients pour le management de leur sécurité. Il a notamment participé à la réorganisation de la filière sécurité de plusieurs grands comptes (groupes bancaires, industriels et du secteur des services) et, ainsi, défini leurs stratégies de sensibilisation qu’il a pu accompagner dans la durée. Julien est diplômé de Telecom EM et certifié ITIL. Létitia COMBES est consultante en sécurité de l’information et en continuité d’activité chez LEXSI. Elle a récemment mené une mission de sensibilisation de la génération Y à la sécurité de l’information pour un laboratoire pharmaceutique. Létitia est diplômée de l’Ecole Centrale de Nantes et possède un Master en Management de l’Imperial College of London. En savoir plus : mbennasar[at]lexsi.com
  17. 17. www.lexsi.com SIEGE SOCIAL : Tours Mercuriales Ponant 40 rue Jean Jaurès 93170 Bagnolet TÉL. (+33) 01 55 86 88 88 FAX. (+33) 01 55 86 88 89 www.lexsi.fr LEXSI - INNOVATIVE SECURITY PARIS, LYON, LILLE, MONTREAL, SINGAPOUR

×