Comme nous l’avons annoncé dans le chapitre précédent, voici des propositions d’actions selon les 4 types d'activités que nous avions définis :
Activités d’initiation.
Activités d’apprentissage.
Activités de renforcement.
Tests de comportement.
Réalisez des activités d’initiation
Intéresser vos collaborateurs pour qu’ils écoutent vos messages requiert une première étape cruciale : capter leur attention. Oubliez donc les réunions de présentation de 2 h avec 80 slides comme première rencontre…
L'objectif est de stimuler une première connexion émotionnelle, de sorte que :
les collaborateurs soient réceptifs aux messages qui suivront ;
et qu’ils aient envie d'en apprendre davantage.
Selon le niveau de sensibilisation dans votre entreprise, ces activités peuvent être à destination de tous les employés ou focalisées sur les nouveaux arrivants.
Voici quelques idées d’activités d’initiation :
Webinaires introductifs | En ligne ou en présentiel, ces webinaires sur un format court (30 min) présentés par le RSSI ou un membre de son équipe sont une occasion de :
|
Stand de présentation | Allez à la rencontre de vos utilisateurs lors de leur arrivée, à la machine à café ou dans le hall d’entrée, et proposez-leur des activités attrayantes :
|
Visuels attractifs | Déployez des supports pour attirer leur attention :
|
Intervenants externes | Invitez un intervenant externe à faire un témoignage, un retour d’expérience ou à présenter un sujet particulier. Le fait même que cette personne soit externe, représente un organisme connu (ANSSI, gendarmerie) ou soit reconnue dans le monde cyber, attisera leur curiosité. |
Onboarding | Collaborez avec la direction des ressources humaines pour vous intégrer dans le parcours d’accueil des nouveaux arrivants dans l’entreprise. C’est le meilleur moyen pour vous d’initier chaque nouvel utilisateur. |
Réalisez des activités d’apprentissage
Après avoir capté l'attention et suscité la curiosité grâce aux activités d'initiation, vient le moment d'approfondir les connaissances.
Pour cela, il est essentiel :
de s'appuyer sur des situations concrètes, qui peuvent être contextualisées à l’entreprise ou au métier de l’utilisateur ;
ou à l’inverse, de partir sur un imaginaire qui permet d’embarquer l’utilisateur comme dans un jeu.
Voici quelques exemples d’activités d’apprentissage :
Ateliers présentiels ou en ligne | Si vous êtes sur une structure dont la taille permet de déployer des d’ateliers, allez-y car c’est beaucoup plus interactif et cela permet de mettre un visage sur votre nom. Pour que vos messages soient percutants, ne préparez pas un cours magistral qui n’intéressera que très peu vos interlocuteurs. Identifiez plutôt des activités durant lesquelles vous captez l’attention de votre auditoire :
|
E-learning | Il existe de nombreuses plateformes proposant des contenus génériques personnalisables. Mais ce qui fait le succès d’un bon outil d’e-learning, c’est l’intérêt suscité auprès de l’utilisateur. Plusieurs outils ont gamifié leurs parcours pour stimuler le cerveau et l’apprentissage grâce aux neurosciences. Vous pourrez trouver sur le marché l’outil qui convient le mieux à vos utilisateurs. |
Tutoriels | Beaucoup de campagnes de sensibilisation demandent aux utilisateurs d’utiliser des outils de sécurité. Mais peu expliquent réellement comment cela fonctionne. Travaillez donc avec votre département IT pour mettre en œuvre des ateliers de démonstration ou des vidéos tutorielles simples que l’utilisateur pourra retrouver le jour où il en aura besoin. |
Newsletter | Envoyée par e-mail ou par articles sur l’intranet, son format permet de tenir au courant vos collaborateurs des nouveautés et des nouveaux messages que vous souhaitez leur transmettre. |
Quelles que soient vos activités d’apprentissage, pensez toujours à inclure des phases où vos collaborateurs peuvent :
Tester leurs connaissances (comme des quiz ou des jeux).
Et avoir des retours et des explications sur leurs réponses.
Le cerveau a besoin de se tester et de se nourrir des retours pour retenir les informations.
Réalisez des activités de renforcement
Quand je dis “vite”, je n’exagère pas. On parle de la capacité de se remémorer environ :
60 % d’un contenu d’un cours après 20 minutes seulement ;
50 % au bout d’une heure ;
et un peu plus de 30 % au bout de 9 heures.
À votre avis ? En combien de temps sont oubliés vos messages de votre unique campagne annuelle ?
Mais rien n’est perdu, heureusement. Comme vous pouvez le voir sur le schéma, en effectuant des rappels à des périodes précises suite à l’apprentissage, il est possible de maintenir l’information dans la mémoire.
Voici quelques exemples d’activités de renforcement que vous pouvez mettre en œuvre suite à vos activités d’apprentissage :
Visuels par e-mails ou messages sur les réseaux internes | Rappeler 1 message à la fois sous forme de texte, d’image, de vidéo. Cela permettra à votre collaborateur de raviver le message. Évitez de noyer ce message dans trop d'informations. Soyez bref et percutant. |
Challenges et concours | L’activité de renforcement par excellence ! Le format devant être généralement court, il permet de challenger les connaissances des utilisateurs sur des notions rapides et potentiellement échelonnées sur plusieurs jours ou semaines. |
Réunions d’équipe | Allez à la rencontre de vos utilisateurs chez eux ! Intégrez-vous dans leurs événements ou leurs réunions d’équipe pour partager une information, un retour d’incident. Si vous adaptez bien votre discours à leur environnement, ils apprécieront votre démarche et en retour vous apporteront leur attention. |
Rendez-vous avec la sécurité | Vous pouvez mettre en œuvre un rendez-vous régulier, mensuel par exemple, avec vos utilisateurs, pour leur présenter certains points, partager des résultats, répondre à leurs questions. |
Réalisez des tests de comportement
Après avoir suscité l'intérêt, transmis des connaissances et renforcé ces dernières, il est maintenant temps de mettre les compétences des collaborateurs à l'épreuve.
Voici quelques idées de tests de comportement à réaliser :
Campagne de phishing | Concevez un e-mail suspect et soumettez-le à vos collaborateurs. Puis observez leur comportement pour voir si vos activités de sensibilisation préalables ont été comprises ou non. Les campagnes de phishing ont 2 objectifs :
|
Clés USB perdues | Laissez traîner quelques clés USB sur le parking ou à la salle de pause et comptez combien de collaborateurs les connectent sur leur poste… |
PC non attachés | Le soir, faites une tournée des locaux et comptez le nombre de postes non attachés par un câble antivol. |
Appels téléphoniques | Faites un test de social engineering en appelant un comptable ou un assistant de direction et mettez-le à l’épreuve. |
Campagnes de SMS | Un peu comme avec le phishing, tentez le faux SMS ou le faux contact qui se fait passer pour le directeur et initiez des conversations par SMS ou sur les réseaux sociaux. |
Ce ne sont que quelques exemples que je vous propose, la liste n’a pour limite que votre créativité et dépend bien entendu des spécificités de votre organisation.
En résumé
Il existe de nombreuses manières de sensibiliser. L’enjeu pour vous, si vous souhaitez une sensibilisation efficace, est de :
Multiplier les activités de sensibilisation pour ancrer les messages et les bonnes pratiques :
activités d’initiation ;
activités d’apprentissage ;
activités de renforcement ;
tests de comportement.
Choisir la bonne activité selon l’objectif : une affiche de sensibilisation n’a pas vocation à faire apprendre mais bien à renforcer les apprentissages.
Vous avez fait le choix des activités que vous souhaitez mettre en œuvre pour faire passer vos messages ? Voyons dans le prochain chapitre comment articuler toutes ces actions, et notamment gérer votre communication.