Dans ce chapitre, je ne parlerai ni de pirates informatiques, ni de pare-feu, ni de ransomware. Au lieu de cela, je vais vous parler de ce qui est probablement l'élément le plus fascinant et le plus négligé de la cybersécurité : l’humain !
Comprenez l’importance de la sensibilisation
Découvrez la notion de programme de sensibilisation
Si la sensibilisation à la cybersécurité était une plante, la considéreriez-vous comme une fleur coupée que vous mettez dans un vase ou comme un arbre que vous plantez, arrosez et nourrissez au fil du temps ?
La réponse est clairement la deuxième option.
La sensibilisation n’est pas "un projet" ou "une campagne ponctuelle". La sensibilisation doit se réfléchir sous la forme d’un programme : un processus continu dans le temps, dans lequel sont planifiées des actions variées, avec des messages dédiés à vos différentes cibles de population.
De la même manière, un bon programme de sensibilisation prend du temps pour s'installer et faire effet. Les mentalités ne changent pas du jour au lendemain. Il est important d'être ambitieux, mais tout aussi crucial de ne pas être trop ambitieux. L'idée est de jouer sur la durée, en construisant une culture de sécurité petit à petit, avec des actions et des messages bien pensés.
Un autre aspect d'un bon programme est la personnalisation. Vous ne parleriez sans doute pas de la même manière à un développeur qu’à un responsable Marketing, n'est-ce pas ? Il faudra donc penser à diversifier et adapter vos messages selon votre public (fond et forme), cela les rendra plus pertinents et plus efficaces. Nous verrons cela plus loin dans le chapitre “Diversifiez et personnalisez les actions de votre programme de sensibilisation”.
Dans une petite organisation, il est probable que personne ne soit entièrement dédié à la sensibilisation à la cybersécurité. Cela ne veut pas dire que le rôle est moins important ; il est simplement absorbé dans des responsabilités plus larges (chef d’organisation, RH…).
Pour les grandes organisations, l'échelle change. Vous pouvez avoir une équipe entièrement dédiée à la cybersécurité, voire dédiée à la sensibilisation. Dans les deux cas, la clé est d'intégrer la sensibilisation dans la gestion globale des risques de l'organisation.
Comprenez pourquoi le changement de comportement n’est pas si évident
Découvrez les 3 objectifs de messages à transmettre
Votre programme de sensibilisation ne devrait pas se résumer à une série de conseils en "Vous devez… ; vous ne devez pas…". La sécurité n’est pas la priorité de vos collaborateurs qui sont déjà submergés de règles et de processus à appliquer dans l’organisation, ne leur rajoutez pas de simples messages infantilisants. Si vous voulez que le comportement des collaborateurs change, voici vos 3 objectifs de messages :
Vos collaborateurs doivent comprendre pourquoi la cybersécurité est importante.
Notre cerveau est câblé pour chercher du sens et de la cohérence dans les informations qu'il traite. D'un point de vue des neurosciences cognitives, comprendre l'enjeu ou le "pourquoi" derrière un comportement peut grandement influencer la rétention et l'application de nouvelles informations. Cela facilite le rappel lorsque nous nous trouvons dans des situations qui nécessitent l'application de ces règles ou comportements. En d'autres termes, le fait de savoir pourquoi nous faisons quelque chose peut transformer une tâche abstraite ou arbitraire en une action logique et significative.
Vos collaborateurs doivent savoir ce que vous attendez d’eux, sans ambiguïté.
Beaucoup de sensibilisations utilisent des conseils types qu’on retrouve partout. Mais est-ce que "Montez votre VPN" ou "Activer la double authentification" sont des consignes qui vous paraissent clairs ? Pour un non-expert, la réponse est non. Vos collaborateurs ne sont pas réticents à faire des actions… tant qu’elles sont simples à comprendre et à appliquer.
Vos collaborateurs ont besoin d’apprendre votre existence.
Savoir qu’il existe une personne ou une équipe de confiance chargée de l’aider et de l'accompagner sur cette thématique. Dans votre manière de sensibiliser, si vous n’utilisez que le ton de la peur, pour lui dire qu’il est responsable de la faute commise, qu’il est le maillon faible, le collaborateur n’aura naturellement pas envie de venir vous voir ou de vous remonter un incident. Et bien évidemment, pour cela, il faut au préalable avoir mis en place un canal de communication simple pour discuter avec vous.
En résumé
La sensibilisation est à la fois primordiale pour la sécurité d’une organisation et un pan important du rôle du RSSI.
Cela prend beaucoup de temps pour faire changer les comportements. Il faut donc y aller petit pas à petit pas en mettant en œuvre un programme de sensibilisation étalé dans le temps et personnalisé.
Le changement comportemental n’est pas une chose facile. Il est donc nécessaire de comprendre le fonctionnement du cerveau grâce aux neurosciences cognitives.
Les enjeux principaux de la sensibilisation sont de faire comprendre le pourquoi, donner des consignes simples et se faire connaître.
Il est temps de voir dans le chapitre suivant comment commencer le plus efficacement possible ce chantier qui vous attend.