Développer la « culture sécurité » en entreprise

Le 30 juin 2016| Rédigé par Erwan Brouder| Posté dans Blog

Développer la « culture sécurité » en entreprise

Malgré la mise en place de solutions de protections des systèmes d’information d’entreprises (techniques et organisationnelles), les attaquants redoublent d’ingéniosité pour contourner ces mesures et s’introduire dans les systèmes d’information. Les retours d’expérience et statistiques montrent que ces attaques impliquent très souvent un ou plusieurs utilisateurs internes (phishing, maladresse, négligence, etc.).

La sensibilisation des collaborateurs est donc une des réponses qui permet de faire face à ces cybermenaces. Elle modifie les comportements, permet de rappeler au personnel les bons réflexes et les responsabiliser sur leurs rôles dans la protection du patrimoine informationnel de l’entreprise.

La démarche de sensibilisation est avant tout une conduite du changement, il est donc indispensable d’avoir l’appui de la direction de l’entreprise (top management) et de multiplier les vecteurs de communication afin de créer une véritable « culture sécurité ». Idéalement, ces éléments doivent s’inscrire au sein d’un programme de sensibilisation avec le soutien des ressources humaines et du service communication.

Un programme de sensibilisation peut contenir :

  • l’organisation de sessions en présentiels (en interne ou via des sociétés spécialisées)
  • la publication régulière de messages de sensibilisation (newsletter, bulletin d’information, liste mail, etc.)
  • le suivi de formation MOOC ou e-Learning …

Ces actions doivent évidemment faire l’objet d’une revue régulière afin d’adapter les messages (par exemple aux menaces les plus courantes dans une période donnée) et doivent être améliorées dans le temps.

Le plus important dans cette démarche est de capter l’attention des utilisateurs pour les impliquer dans l’application des bonnes pratiques de sécurité au quotidien. Pour cela, il ne faut pas hésiter à innover dans la forme des messages (infographie, bandes-dessinées, présentation dynamique, démonstrations, etc.) mais également dans le fond en rappelant les menaces pesant sur l’usage des réseaux sociaux ou des services e-commerce. Il a été démontré par exemple, que lorsqu’une personne s’engage publiquement à une action, les chances de réussite sont plus importantes (ndlr. L’ouvrage « Le petit traité du bonheur 2.0 » traite très bien ce sujet). Alors innovez ! Engagez le personnel dans cette quête de protection ! Valorisez les bonnes pratiques ! Pourquoi ne lanceriez vous pas, par exemple, un concours interne du meilleur cyber-gardien ?

Enfin, il ne faut pas oublier que les utilisateurs sont la première ligne de défense de l’entreprise. Ils sont les mieux placés pour identifier une faille ou une attaque et alerter en cas d’attaque. La mise en place d’un programme de sensibilisation à la sécurité pourra donc aider votre entreprise à :

  • réduire les risques de vol ou pertes d’informations et limiter la fraude;
  • assurer une meilleure confidentialité des informations de l’entreprise et de ses clients;
  • protéger l’image et la réputation de l’entreprise;
  • permettre l’utilisation de la sécurité comme un facteur de différenciation marketing positif.

Saïd Haidar, Consultant en sécurité des systèmes d’information

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *