Je suppose que vous avez, comme nous tous, des enjeux de conformité et l'envie de faire plaisir à votre auditeur ? Mais vous voulez également améliorer la sécurité dans votre organisation en inculquant une culture cyber à vos collaborateurs ? Vous êtes au bon endroit, car nous avons la même conviction : des collaborateurs bien sensibilisés sont des atouts précieux pour améliorer la sécurité de l'organisation
Dans ce chapitre, nous allons justement explorer en détail les étapes cruciales pour identifier les besoins en sensibilisation, en prenant en compte les risques, les utilisateurs et les enjeux réglementaires.
Prenez connaissance des risques de l’organisation
Toutes les organisations n’ont pas les mêmes enjeux en termes de cybersécurité. Pour bien cibler ses objectifs de sensibilisation, il est donc primordial de comprendre le métier de son organisation, son contexte et ses enjeux. Voici trois exemples pour vous illustrer ces différences d’enjeux :
Contexte d’organisation | Ses enjeux de sécurité types | Les messages de sensibilisation à cibler |
Un cabinet médical | Protection des données médicales des patients | Respecter l’utilisation des outils sécurisés. Ne pas utiliser sa boîte mail personnelle. |
Un cabinet de conseil | Protection des données des clients | Ne pas partager les données des clients entre projets. Ne pas sortir de données des systèmes d’information des clients pour les réutiliser dans des projets similaires. |
Une usine de production | Continuité d’activité | Éviter les situations qui provoquent une interruption de service : clés USB autorisées sur les automates, mails de phishing, objets connectés. |
Si vous souhaitez mener correctement votre orchestre, vous avez intérêt à connaître son style musical !
Sortons de la métaphore un instant pour voir ce que ça veut dire pour le sujet qui nous concerne : il ne faut pas hésiter à interroger le responsable de la sécurité des systèmes d'information (RSSI) et/ou la direction des risques. Les différentes analyses de risques qu’ils font régulièrement sont de très bonnes sources pour :
comprendre l’organisation et ses différents risques ;
identifier les risques IT pour lesquels les solutions techniques ou organisationnelles ne sont pas suffisantes pour réduire la probabilité ou l’impact des risques.
Seule une sensibilisation permettrait d’atténuer ces risques. Exemple : votre société n’a malheureusement pas obtenu le budget pour mettre en place une solution de double authentification (ce qui est dommage). Les mots de passe de vos utilisateurs sont donc très vulnérables. Vous allez devoir prioriser vos messages de sensibilisation autour de la bonne gestion des mots de passe pour tenter de réduire le risque… en attendant que vous puissiez obtenir votre budget l’année suivante !
Ne vous basez donc pas sur des messages génériques de sensibilisation, mais allez voir les bonnes personnes qui pourront vous aiguiller sur ce dont l’organisation a vraiment besoin pour réduire ses risques.
Recueillez le besoin de vos collaborateurs
Vous commencez progressivement à alimenter votre liste d’objectifs de sensibilisation, c’est bien.
Mais n’avez-vous pas oublié de solliciter quelqu’un ? Une personne essentielle ?
Oui. Votre client : votre collaborateur !
Et la meilleure manière pour cela, c’est d'interagir directement avec lui. Vous pouvez en effet :
organiser des entretiens avec des interlocuteurs privilégiés de différentes directions métiers ;
discuter avec des collaborateurs à la machine à café ;
utiliser des questionnaires pour collecter des informations précieuses.
L’avantage d’un questionnaire, c’est qu’il peut également servir à annoncer le lancement d'un programme de sensibilisation, montrant ainsi que l'organisation prend au sérieux le sujet de la cybersécurité et qu’elle souhaite intégrer ses employés et leurs préoccupations dans ce domaine.
Les objectifs de ces rencontres ou de ces questionnaires sont de recueillir de la part de vos collaborateurs :
des propos déclaratifs sur leur compréhension des enjeux de cybersécurité ;
leurs besoins, leurs attentes ;
et leurs retours sur les campagnes précédentes (ce qu’ils ont aimé, pas aimé, compris, pas compris…).
Pour accompagner ces propos déclaratifs, je vous invite également à mesurer leur niveau de maturité par des tests techniques :
fausse campagne de phishing ;
clés USB qui traînent dans les couloirs ;
nombre de postes de travail non verrouillés.
Ces premiers indicateurs vous permettront de percevoir le niveau de sensibilité de vos utilisateurs et d’identifier certains points qui nécessitent des actions de votre part.
À vous de jouer !
Consigne
Répondez aux questions suivantes :
Quelles seraient les bonnes questions à poser pour récolter les besoins ?
Que doit-on chercher à savoir et sur quelles thématiques ?
Identifiez une série de 8 à 10 questions que vous pouvez poser à vos collaborateurs.
Pistes de réflexion
“Est-ce que le mot "cybersécurité” vous parle ? Si oui, quelle en est votre compréhension actuelle concernant l’organisation ?”
Cette question permet de connaître le niveau de connaissance de base des employés en matière de cybersécurité.
“Avez-vous déjà été confronté à des problèmes de sécurité informatique au travail ?”
Cela aide à identifier les expériences passées et les incidents potentiels que les employés ont rencontrés.
“Quels sujets liés à la sécurité informatique vous intéressent le plus ?”
Cette question permet de cibler les préférences et les domaines d'intérêt spécifiques des employés.
“Comment préférez-vous apprendre sur la cybersécurité (par exemple, formations en ligne, sessions en personne, vidéos, articles) ?”
Cette question aide à adapter le format de sensibilisation aux préférences de l'audience.
“Avez-vous des idées pour rendre les sessions de sensibilisation plus engageantes et intéressantes ?”
Les employés peuvent avoir des suggestions créatives pour améliorer l'efficacité des programmes de sensibilisation.
“Quelles sont vos principales préoccupations en matière de sécurité informatique dans votre travail quotidien ?”
Cela permet de cerner les domaines spécifiques où les employés se sentent vulnérables.
“Avez-vous déjà suivi des formations de sensibilisation à la cybersécurité auparavant ? Si oui, qu'avez-vous trouvé utile ou moins utile dans ces formations ?”
Cette question permet de tirer des enseignements des expériences précédentes.
“Comment évaluez-vous l'importance de la sécurité informatique dans votre travail ?”
Cette question aide à comprendre la perception de la cybersécurité par les employés et son intégration dans leurs tâches quotidiennes.
“Pouvez-vous fournir des exemples de situations où des connaissances en cybersécurité vous ont été particulièrement utiles ?”
Cette question permet d'illustrer l'impact positif de la sensibilisation à la cybersécurité.
“Connaissez-vous au moins un membre de l'équipe Sécurité ? Savez-vous comment contacter l'équipe Sécurité ?”
Cette question permet d'identifier quel niveau de visibilité ont les collaborateurs de l’équipe Sécurité.
“Avez-vous les connaissances et documents nécessaires à votre disposition pour vous aider sur les sujets de cybersécurité ?”
Cette question permet d'identifier si vos collaborateurs savent trouver votre documentation et s’ils la trouvent utile.
“Y a-t-il d'autres commentaires ou suggestions que vous souhaitez partager concernant la sensibilisation à la cybersécurité au sein de l'organisation ?”
Cette question ouverte permet aux employés de partager des informations supplémentaires ou des idées non couvertes par les questions précédentes.
Définissez vos populations cibles à sensibiliser
L'efficacité de la sensibilisation à la cybersécurité repose en grande partie sur une compréhension approfondie des différentes populations cibles au sein d'une organisation.
Chaque groupe ou département possède ses propres responsabilités, outils et interactions avec les données et les systèmes. Par conséquent, leurs vulnérabilités et leurs besoins en matière de sensibilisation varient.
Exemples :
Le département des ressources humaines : il gère des informations personnelles sensibles et doit donc être sensibilisé à la protection des données personnelles et aux risques associés.
Les équipes commerciales, souvent en déplacement et en interaction avec des clients, doivent être formées aux dangers des connexions Wi-Fi publiques et à la sécurité des communications.
Les équipes techniques, quant à elles, nécessitent une formation plus approfondie sur les menaces spécifiques liées à leurs outils et systèmes.
Une telle approche ciblée vous permettra de sélectionner au mieux les messages les plus pertinents, de les limiter en nombre et donc d’augmenter leur intégration par vos équipes.
À vous de jouer !
Faites la liste des populations cibles dans votre organisation et des exemples de messages spécifiques qu’il faudrait leur adresser
Voici quelques exemples :
Population | Sujets à traiter |
RH |
|
Recrutement |
|
Finances |
|
IT |
|
Secrétaires de direction |
|
Communication / Marketing |
|
Équipes commerciales |
|
Personnel en magasin |
|
Chercheurs |
|
Prenez en compte les enjeux réglementaires ou légaux
Comme je vous l’avais dit précédemment, faire de la sensibilisation uniquement pour des raisons de conformité ne donnera pas des résultats satisfaisants. Néanmoins, il ne faut tout de même pas mettre totalement de côté ce sujet.
On peut citer par exemple la clause 6.3 de l’annexe A de l’ISO 27001:2022, qui demande que le personnel de l’organisation et les parties intéressées reçoivent une sensibilisation appropriée à leurs fonctions.
De plus, ces normes exigent en général que des livrables soient produits. Qu’il s’agisse de documents expliquant ce que vous faites en termes de sensibilisation ou de preuves/résultats de vos actions, il est nécessaire pour vous de penser en amont à ce dont vous aurez besoin pour la rédaction de vos livrables.
Voici une liste non exhaustive des réglementations ou normes de sécurité applicables pour la France :
Directives françaises et européennes | Sociétés concernées |
LPM (Loi de programmation militaire) | Les opérateurs d'importance vitale (OIV) en France, qui incluent des secteurs tels que l'énergie, les transports et la santé. |
IGI 1300 : Protection du secret national | Toute société manipulant des informations et supports dont la divulgation ou l’accès est de nature à nuire à la défense et à la sécurité nationales. |
RGPD (Règlement général sur la protection des données) | Toutes les organisations qui traitent des données personnelles des citoyens de l'Union européenne, quel que soit leur emplacement géographique. |
NIS Directive (Directive sur la sécurité des réseaux et des systèmes d'information) | Les opérateurs de services essentiels (OSE) dans l'Union européenne et les fournisseurs de services numériques tels que les moteurs de recherche, les clouds et les plateformes en ligne. |
DORA (Digital Operational Resilience Act) | Les entités financières et les fournisseurs de services TIC critiques. |
Voici une liste non exhaustive des normes internationales :
Normes internationales | Sociétés concernées |
ISO/IEC 27001 | Toute organisation, de toute taille et dans tous les secteurs, qui souhaite gérer de manière plus efficace sa sécurité de l'information. |
PCI DSS (Payment Card Industry Data Security Standard) | Toutes les organisations qui stockent, traitent ou transmettent des données de carte de crédit. |
NIST Framework (États-Unis) | Bien que formalisé aux États-Unis, ce cadre est souvent suivi par des organisations du monde entier, notamment celles qui collaborent avec le gouvernement américain. Il est pertinent pour tous les secteurs. |
En résumé
Nous avons donc vu à travers ce chapitre que pour préparer au mieux son plan de sensibilisation, il était important de :
Connaître les risques spécifiques de l’organisation et d’identifier ceux pour lesquels des actions de sensibilisation pourraient permettre de diminuer leur impact ou leur probabilité.
Recueillir auprès de vos collaborateurs leurs attentes et leurs besoins en termes de sensibilisation.
Évaluer leur maturité grâce à des mesures techniques.
Identifier les différentes populations à sensibiliser.
Identifier les normes et les réglementations auxquelles votre société doit répondre pour mieux déterminer les besoins en termes de livrables.
Jusqu’ici, vous avez peut-être effectué tout ce travail seul. Mais dorénavant, vous aurez besoin de renfort pour réussir votre tâche. Voyons cela dans le chapitre suivant.
