Il s’agira peut-être de ma phrase la plus banale de ce cours, mais elle reste primordiale pour le succès de votre programme. Je citerai donc Nelson Mandela :
“Aucun d'entre nous, en agissant seul, ne peut atteindre le succès.”
Dans ce chapitre, nous verrons vers qui vous tourner au sein de votre organisation pour vous accompagner dans votre projet.
Obtenez le soutien de votre direction
Si vous souhaitez obtenir des résultats de vos actions et que les comportements de vos collaborateurs changent, le soutien de votre direction est indispensable.
Obtenir le soutien de sa direction, c’est permettre de :
Développer la crédibilité de votre programme.
Se faire allouer des ressources.
Faire lever les barrières du management.
Développez la crédibilité de votre programme
Lorsque la direction générale soutient une initiative, celle-ci gagne en crédibilité. Les employés sont plus susceptibles de prendre la campagne au sérieux et de s'engager dans les activités de sensibilisation. Cela permet d’accentuer la compréhension du besoin auprès de vos collaborateurs. Ainsi, ils ne voient plus la sécurité comme une contrainte mais bien comme un choix stratégique pour l’organisation : les enjeux de cybersécurité sont intégrés dans la planification et la prise de décision à haut niveau.
Faites-vous allouer des ressources
Votre programme risque de nécessiter des ressources, tant financières qu'humaines. Le soutien de la direction sera un levier primordial pour garantir que les ressources nécessaires sont allouées à l'initiative.
Faites lever les barrières du management
La cybersécurité n’est pas la priorité initiale de tous vos collaborateurs ni du management. Ceci est tout à fait normal. Entre tous les objectifs de productivité, de rentabilité, et de management, la cybersécurité peut être vue comme un frein ou une contrainte supplémentaire. Certains managers risquent de minimiser, voire de refuser vos actions, pour ne pas surcharger leurs équipes (parfois dans un simple esprit de bienveillance et non de rejet de la cybersécurité). Le soutien de votre direction sera un atout pour balayer les réticences de ces managers.
Posez-vous donc cette question :
Où se situe ma direction en ce qui concerne la cybersécurité ?
L'important ici est de comprendre l'état d'esprit de votre direction. Cela vous aidera à déterminer si vous pouvez compter sur son soutien immédiat ou si votre première action consistera à mettre en œuvre une action de sensibilisation ciblant la direction.
Identifiez vos interlocuteurs privilégiés pour vous accompagner
Qui sont mes alliés potentiels pour déployer un programme de cybersécurité réussi ?
Au-delà de la direction générale, il est important de travailler et d’orchestrer les actions avec différents acteurs de l’organisation :
Acteur | Utilité |
Responsable de la sécurité de l'information (RSSI / CISO) | Fournir une expertise technique, définir les risques spécifiques à l'organisation et aider à élaborer le contenu de vos messages. |
Équipe IT / Support technique | Fournir des informations sur l'infrastructure technique, les outils en place et les principales menaces techniques. Ils peuvent également vous aider à mettre en œuvre des simulations (par exemple, des tests de phishing). |
Service des ressources humaines (RH) | Intégrer la sensibilisation à la cybersécurité dans les programmes d'intégration des nouveaux employés, organiser des sessions de formation, et communiquer avec l'ensemble des employés. |
Service de communication / Relations publiques | Aider à concevoir et diffuser des messages clairs et percutants à travers les canaux de communication internes. |
Service juridique | S'assurer que la formation est conforme aux réglementations et lois applicables, et aider à comprendre les implications juridiques d'éventuelles violations de sécurité. |
Service de la formation / Learning & Development | Aider à concevoir des modules de formation efficaces et à les intégrer dans les parcours de formation existants. |
Responsables de départements / Managers | Faire le lien entre les équipes et la direction, et assurer que les messages et formations sont bien reçus et appliqués au niveau opérationnel. |
Représentants des employés / Comité d'organisation | Fournir des retours sur les besoins et préoccupations des employés, et aider à encourager la participation. |
Utilisateurs clés, ambassadeurs de cybersécurité ou Security Champions | Servir de relais dans les différents services ou équipes, partager les bonnes pratiques et encourager leurs collègues à adopter des comportements sécurisés. En collaborant avec ces personnes clés, vous pouvez vous assurer que le programme de sensibilisation est bien adapté aux besoins et spécificités de l'organisation, qu'il est communiqué efficacement et qu'il est intégré dans les processus et la culture de l'organisation. De plus, si vous travaillez dans un contexte international, ces relais sont primordiaux pour vous aider à adapter vos messages aux cultures locales. |
Vous ne vous étiez pas encore rendu compte de l’étendue des sujets à traiter et du nombre d’acteurs à coordonner ? Sachez que c’est l’une des parties les plus passionnantes de ce métier. Vous êtes constamment dans la rencontre et dans le travail avec l’autre.
Identifiez les leviers de motivation de vos collaborateurs
Au-delà des personnes qui vont vous accompagner dans votre projet, vous avez besoin également de connaître vos musiciens pour optimiser vos chances de les faire jouer harmonieusement tous ensemble.
L'identification des leviers de motivation des collaborateurs est cruciale pour réussir une sensibilisation à la cybersécurité. Pourquoi ? Tout simplement parce que vous n’avez pas affaire à une population homogène : elle ne démontrera pas forcément le même niveau de motivation face à vos activités.
Je reprends ici la théorie de l’autodétermination d'Edward Deci et Richard Ryan (schématisée ci-dessous), qui hiérarchise les facteurs de motivation :
Vos collaborateurs seront répartis sur tous les niveaux de cette échelle de motivation. En connaissant ces leviers, vous aurez la capacité de proposer des activités variées qui permettront d’atteindre une grande majorité de vos collaborateurs.
Les employés intrinsèquement motivés pourraient être ceux qui montrent déjà un intérêt pour les bonnes pratiques de sécurité, qui partagent des articles sur le sujet ou qui assistent volontairement à des formations supplémentaires. Repérez ces individus et encouragez-les à devenir des ambassadeurs ou des relais. Ils peuvent vous aider à organiser des ateliers, à conseiller leurs collègues ou à créer des groupes de discussion sur la sécurité. Leur enthousiasme peut être contagieux et inspirer d'autres à suivre leur exemple.
Certains employés pourraient ne pas voir l'intérêt immédiat de suivre les pratiques de sécurité que vous recommandez. Cependant, ils pourraient être motivés par des incitatifs externes. Proposez donc des actions avec de la reconnaissance individuelle ou collective pour avoir suivi vos formations ou adopté des comportements sécuritaires. Cela pourrait prendre la forme de points de récompense, de certificats ou de petits cadeaux. Par exemple, un employé pourrait être reconnu pour avoir signalé un e-mail de phishing suspect.
Ils peuvent se sentir indifférents ou désengagés vis-à-vis de la sécurité. Malheureusement, chaque organisation a une proportion d'employés qui ne voient pas la nécessité de se conformer aux directives de sécurité.
Pour cette population, il est crucial de rendre la formation aussi engageante que possible. Utilisez des vidéos, des animations ou des jeux pour rendre la formation divertissante. Organisez des simulations d'attaques de phishing pour montrer les conséquences réelles d'un comportement non sécurisé. Créez des scénarios réalistes qui montrent les implications d'une brèche de sécurité, pour rendre le sujet plus tangible et pertinent.
À vous de jouer !
Pour conclure cette première partie du cours, je vous invite à :
remplir le tableau suivant (en italique, un exemple pour la ligne Finance) :
Population | Incidents | Risques | Attentes | Actions réalisées et bilan | Métriques actuelles | Levier de motivation |
Finance | Fraude de 10 000 € | Fraude Président | Formation en présentiel | Mail envoyé ; très peu l | Aucune | Intrinsèque en majorité |
Recrutement |
|
|
|
|
|
|
RH |
|
|
|
|
|
|
IT |
|
|
|
|
|
|
Secrétaires de direction |
|
|
|
|
|
|
Communication / Marketing |
|
|
|
|
|
|
Équipes commerciales |
|
|
|
|
|
|
… |
|
|
|
|
|
|
TOUS |
|
|
|
|
|
|
puis faire la liste de ce que vous pouvez faire pour réduire les incohérences (exemple : "Automatiser la connexion VPN" ou encore "Supprimer de la charte la notion de gestionnaire de mots de passe") ;
enfin, définir la liste de vos interlocuteurs privilégiés pour chaque service (exemple : Communication : Jen B. ; Ambassadeurs : Sylvie C. ; Marc J. ; etc.).
En résumé
Si vous souhaitez optimiser les chances de succès de votre programme, ne travaillez pas seul dans votre coin.
Prenez le temps de vous encadrer de renforts.
Assurez-vous d’obtenir le soutien de votre direction.
Entourez-vous des bonnes ressources dans les différents départements de votre organisation.
Apprenez à identifier vos interlocuteurs et leurs leviers de motivation.
Vous avez dorénavant toutes les cartes en main pour identifier les besoins de sensibilisation de votre organisation. Voici un exemple de carte simplifiée, récapitulant tous les éléments que vous deviez collecter durant ce chapitre.
Voyons dans la prochaine partie comment définir et organiser votre programme de sensibilisation ! Mais avant cela, testez-vous avec un petit quiz.
