Dans le chapitre précédent, nous avons rassemblé tous les éléments nécessaires pour notre "concert" de sensibilisation à la cybersécurité : comprendre les besoins, identifier les risques, prendre connaissance des incidents passés, définir les attentes, reconnaître nos interlocuteurs privilégiés et cibler les bonnes populations.
Définissez vos messages clés
Si vous avez correctement rempli le tableau que je vous ai donné à la fin de la partie 1 avec toutes les informations collectées, je vous invite maintenant à ajouter une nouvelle colonne “Mes choix de messages”.
Population | Incidents | Risques | Attentes | Actions réalisées et bilan | Métriques actuelles | Levier de motivation | Mes choix de message |
Département de l'organisation |
|
|
|
|
|
|
|
Vous avez tous les éléments pour choisir quels sont les thèmes de messages que vous souhaitez faire passer, par population. L'objectif principal est de limiter le nombre de messages pour que les employés ne soient pas submergés.
Rédigez vos messages selon la culture de l’organisation
L'importance de la culture organisationnelle ne peut être sous-estimée. Elle détermine la manière dont les messages sont reçus et interprétés.
C’est pour cela que vos relations avec le service de communication vont vous aider à connaître les codes et les usages de l’organisation. Voici quelques points à prendre en compte.
Soyez clair et parlez actions
Il ne s'agit pas simplement d'informer, mais aussi d'encourager à l'action.
Par exemple, plutôt que de dire "Soyez prudent avec les e-mails", optez pour "Vérifiez l'expéditeur avant d'ouvrir une pièce jointe".
Évitez les négations
Au lieu de dire "Ne cliquez pas sur des liens inconnus", tournez le message de manière positive, comme "Vérifiez toujours la source d'un lien avant de cliquer".
Personnalisez et bannissez les termes techniques
Si vous travaillez dans le secteur bancaire, parlez des risques de fraude bancaire ou de phishing ciblant les transactions financières. Dans tous les cas, faites tester vos messages pour vous assurer que vos termes sont compréhensibles (évitez les mots comme VPN, MFA...).
Adaptez le ton
Certains environnements d'entreprise favorisent un ton formel, tandis que d'autres apprécient une approche plus légère ou humoristique. Connaître votre audience est crucial. Cependant, sortir des codes habituels peut aussi surprendre et être impactant. Demandez l’avis de la communication (et parfois tenez-leur tête si vous êtes sûr que votre idée est la bonne).
Prenez en considération l’international
Si votre entreprise est présente à l'international, pensez aux différences culturelles. Ce qui est humoristique ou pertinent dans une culture peut ne pas l'être dans une autre. De plus, les solutions IT ne sont pas forcément déployées de manière homogène. Assurez-vous d’adapter vos messages à chaque région ou pays.
Testez vos messages avec des collaborateurs motivés intrinsèquement
Lorsque vous avez écrit une mélodie, il est souvent utile de la faire écouter à quelques oreilles averties avant la grande représentation. De même, une fois vos messages formulés, les collaborateurs que vous avez identifiés comme des ambassadeurs de la cybersécurité peuvent servir de public test. Ces ambassadeurs peuvent être des personnes avec qui vous avez déjà collaboré sur des projets de sécurité, ou tout simplement des personnes qui y sont sensibles.
Vérifiez le choix du vocabulaire / ton
Vos champions vérifieront si vos messages sonnent juste. Leur retour pourrait révéler des zones d'ambiguïté ou de confusion du type :
“Ce point n’est pas applicable sur notre périmètre”.
“Nous ne bénéficions pas de cette solution technique”.
“Nous sommes en open space sur notre site et nous n’avons pas de casier. Ta mesure demandant de mettre sous clé les documents n’est pas applicable”.
Validez la clarté et la pertinence des messages
Grâce à leur expertise et leur proximité avec les cibles visées, vos champions peuvent rapidement identifier des lacunes ou des points d'amélioration.
Exemple : Si un message technique (destiné à un public IT) est trop complexe pour un public administratif, un champion issu de cette dernière catégorie pourra le signaler. Il pourrait alors suggérer une simplification ou une analogie pour rendre le message plus accessible.
Vous pourriez également avoir des retours sur des messages qui ne sont pas applicables sur leur environnement car ils n’ont pas l’outil mis en avant (comme un gestionnaire de mots de passe) ou sont dans une configuration différente (“Contrairement au Siège, nous sommes en open space sans caisson : tu ne peux pas nous demander de mettre sous clé nos documents”).
Répondez aux questions implicites
Les interrogations que se posent vos collaborateurs ambassadeurs, loin d'être des obstacles, sont autant d'opportunités pour ajuster, affiner, et rendre vos messages plus incisifs.
Exemple : Si un champion demande : "Comment appliquer cette recommandation au quotidien ?", cela peut indiquer que votre message, bien que clair, manque de directives pratiques. C'est une invitation à ajouter des étapes ou des ressources complémentaires.
Identifiez d’autres besoins si nécessaire
Au-delà de l'ajustement de vos messages, les collaborateurs ambassadeurs peuvent vous aider à identifier d'autres besoins. Ils peuvent :
mettre en lumière des pratiques locales de leurs utilisateurs ;
suggérer des ressources ;
ou même proposer des initiatives pour renforcer la sensibilisation.
Exemple : Face à un message sur la protection des données, on pourrait vous faire remonter différents besoins, comme :
mettre en place des ateliers pratiques sur les outils de chiffrement ;
ou encore créer un guide de bonnes pratiques.
Les champions en cybersécurité sont des partenaires clés dans votre mission de sensibilisation.
Exemple : Suite à une série d'ateliers, vous pourriez mettre en lumière les contributions spécifiques de chaque champion dans la newsletter interne ou le réseau social de l’organisation.
N’oubliez pas qu’en sollicitant l'opinion de vos champions, vous suscitez également leur engagement. Cela signifie qu'en plus de vous fournir des feedbacks précieux, ils partageront avec conviction vos messages au sein de leurs équipes. Effet boule de neige garanti !
En résumé
Priorisez les messages par cible, grâce à l’analyse des éléments collectés dans la partie 1 (besoins, risques, incidents passés, attentes, interlocuteurs privilégiés, etc.).
Définissez des messages clairs et adaptés à la culture de l’entreprise.
Garantissez leur pertinence grâce à l’implication de vos collaborateurs ambassadeurs, ceux qui sont naturellement intéressés par la sécurité.
Pour maximiser l’apport de vos collaborateurs ambassadeurs, il est essentiel d'adopter des méthodes de collaboration qui tirent parti de leurs compétences et de leur expertise (organiser des ateliers collaboratifs, leur donner du feedback en continu, les fidéliser et les encourager).
Les messages étant choisis, arrive la partie sympathique du choix des activités. Voyons tout de suite cela dans le chapitre suivant !
