Il y a quelque chose d'étrange qui me surprend toujours dans le monde de la cyber : c'est notre capacité à perdre nos bons réflexes lorsqu'il s'agit de faire de la sensibilisation.
Depuis des années, on nous apprend à travailler avec une vision risques sur notre politique de sécurité, sur nos projets informatiques ou nos projets de cybersécurité :
J'identifie mes risques
Je les quantifie et je les priorise
J'identifie des mesures permettant de les réduire
Je mets en place ces mesures
J'évalue l'efficacité des mesures
C'est la base qui nous permet de choisir de manière rationnelle nos solutions organisationnelles ou techniques qu'on aime bien en tant que RSSI.
Depuis que j'ai lancé mon activité, j'ai fait beaucoup d'entretiens avec des RSSI ou des responsables de la sensibilisation.
Très souvent, lorsque je pose les questions suivantes :
"C'est quoi votre programme de sensibilisation ?"
👉on me montre un tableau Excel listant l'ensemble des actions qui sont faites :
Un elearning
Des campagnes de phishing
Des serious games
Des affiches
et plein d'autres bonnes idées...
"Quels sont les sujets que vous abordez ?"
👉"Oh les messages classiques : Phishing, Mots de passe, Travail à domicile, Espaces publiques"
"Vous suivez des indicateurs ?"
👉"Oui un peu : les taux de clics et les taux de participation aux elearnings ou évènements"
"Quels sont vos objectifs ? Quels sont les risques les plus importants pour votre entreprise liés à l'humain et les comportements que vous souhaitez faire changer"
👉-"Et bien... le ransomware !"
-"Ok c'est normal. Mais encore ?"
-"mmm, difficile à dire comme ça à chaud"
Oui, car souvent la sensibilisation est réalisée de 2 manières différentes :
1-"Je dois faire de la sensibilisation pour la compliance",
👉 "je mets en place une action avec un outil qui me permet de prouver que les utilisateurs ont été sensibilisé. Point barre. De toute manière je n'ai pas le temps" - C'est compréhensible, chacun ses priorités.
2-"Je veux faire plus que ça"
👉 "Je diversifie les supports et les activités pour que les messages soient constants"- C'est déjà bien, mais est-ce suffisant ?
L'activité ou le support (elearning, vidéo, affiche...) ne sont pas des objectifs. Ceux ne sont que des moyens pédagogiques à ma disposition.
Pour qu'un programme de sensibilisation puisse être vu autrement que comme une série de dépenses sans résultats, il est important de repartir des bases de la cyber : l'analyse de risques :
1- J'identifie les risques de mon entreprise qui sont liés à des comportements de mes utilisateurs et cela, selon les populations d'acteurs. Certains risques sont génériques, d'autres sont spécifiques à certaines fonctions.
"Mes utilisateurs en usine se partagent leurs identifiants",
"J'ai beaucoup d'utilisateurs qui utilisent des outils gratuits pour envoyer des documents confidentiels"
2- Je les quantifie et je les priorise. Oui mes utilisateurs ne sont pas en capacité à retenir tout d'un coup. Le peu d'attention que leur cerveau peut nous offrir sur le sujet de la cyber ne doit pas être noyé de messages. Comme mes risques traditionnels, je dois accepter d'en laisser de côté pour me focaliser sur les plus importants. Sinon c'est "pisser dans un violon" comme certains aiment le dire au sujet de la sensibilisation.
3- J'identifie des mesures permettant de les réduire. Il peut s'agir de mesures :
Techniques ou organisationnelles : définition/amélioration d'un processus spécifique pour permettre d'obtenir des identifiants plus rapidement pour les sites avec des arrivées quotidiennes, mise en oeuvre d'un outil ergonomique et pratique de partage de documents,...
De sensibilisation avec des activités selon leur fonction pédagogique (oui un elearning n'a pas le même objectif qu'une affiche ou qu'une intervention en présentiel). Mais désolé, ce n'est pas dans cet article que je vous présenterai toutes ces fonctions. Sinon votre cerveau serait débordé 😉
4- Je mets en place ces mesures : je les programme dans le temps pour que mes messages soient répétés dans la durée avec mes différentes activités.
5- J'évalue l'efficacité des mesures : au delà de l'indicateur que j'appelle "d'adhésion" ("Est-ce que les utilisateurs participent ?", "Est-ce qu'ils ont aimé"?), qui est important à suivre, j'aime dire qu'il faut aussi suivre l'indicateur "de changement de comportement" ("Est-ce que mes actions ont permis de changer le comportement de mes utilisateurs?")
Est-ce qu'il y a une réduction du partage d'identifiants ?
Est-ce qu'il y a moins de sorties de documents ?
Ce n'est qu'en partant de ses risques, en identifiant en amont les comportements qu'on souhaite changer et en réfléchissant aux moyens d'évaluer la progression de la situation qu'on pourra monitorer l'efficacité de sa sensibilisation.
Et il n'y a pas de secret. Si vous avez la possibilité de prouver l'efficacité de vos actions auprès de vos directions, vous partez avec un avantage pour les discussions budgétaires !
Alors, reprenez vos reflexes et réfléchissez à votre programme de la bonne manière.
Même si vous faites déjà de belles choses, le fait de changer d'angle de vue ne fera que l'améliorer.
👉 Si vous souhaitez apprendre et être accompagné pour crééer un programme de sensibilisation efficace et qui répond à votre besoin, découvrez l'unique formation qui permet cela Formation | Je Sensibilise.com
💡C'est en s'inspirant des uns qu'on inspire les autres
Comments