Formation sensibilisation utilisateurs à la sécurité informatique

Pourquoi et comment sensibiliser ses utilisateurs à la sécurité

La sécurité technique a ses limites pour protéger un système d’information.

Un utilisateur qui clique sur une pièce-jointe reçue d’un inconnu. Un autre qui écrit son mot de passe sur un post-it collé sur son ordinateur ou qui laisse son portable professionnel sans attention dans le train alors qu’il n’a pas chiffré ses données sensibles.

Ou même un service de communication qui connecte une box ADSL sur un ordinateur de l’entreprise, lui même connecté sur le réseau local.

On ne peut protéger l’entreprise de tous les risques avec des mesures purement techniques.

Les frontières des systèmes ne sont plus limitées comme elles l’étaient par le  passé, notamment avec l’avènement du Cloud et du BYOD (Bring Your Own Device), ce qui expose l’entreprise à faire face à de nouveaux risques.

La pierre angulaire du SI est l’humain. Pourquoi et comment sensibiliser vos utilisateurs à la sécurité des systèmes d’informations. C’est ce que nous allons vous expliquer dans cet article.

Nouveauté 2016 : découvrez Le Maillon Fort, la formation de sensibilisation à la sécurité en e-learning ! Une formation courte, accessible et en vidéo.

Pourquoi il est important de sensibiliser ses utilisateurs à la sécurité

La clé de voute de la sécurité d’un système d’information reste l’utilisateur qui utilise et manipule les applications et données de l’entreprise.

Il constitue l’élément « faible » qu’un attaquant essaiera d’exploiter pour entrer dans le réseau interne de l’entreprise ou pour détourner les fonds de l’entreprise dans le cadre d’une attaque au président.

Mais c’est aussi l’utilisateur, qui, s’il connait et comprend les menaces, pourra détecter et éviter une attaque.

Pour cette raison, il est important de sensibiliser les utilisateurs à la sécurité.

Et les fruits de cette sensibilisation ne concerne pas seulement l’entreprise. Elle s’étend dans la sphère personnelle de l’utilisateur qui pourrait être victime lui-même d’une escroquerie ou d’un détournement de ses données privées (vol données CB, …).

La sensibilisation à la sécurité est donc indispensable à tous, dans une période où les attaques ciblent autant les entreprises que les particuliers.

De plus, les clients demandent de plus en plus de garanties de sécurité quand à leurs données et équipements gérés ou hébergés par leurs prestataires et partenaires.

Certaines entreprises se mettent alors en conformité avec des normes de sécurité telles que l’ISO27001 afin d’augmenter le niveau de sécurité de leur système d’information et de disposer d’un avantage concurrentiel leur permettant de rassurer les clients et gagner ainsi de nouveaux contrats.

Une des mesures de sécurité obligatoire de cette norme est de former et sensibiliser ses utilisateurs à la sécurité. Pour cette raison, l’avantage est double pour l’entreprise.

Comment sensibiliser ses utilisateurs à la sécurité

Il existe différents moyens et médias permettant de sensibiliser les utilisateurs à la sécurité. Ils ont tous des avantages et inconvénients.

Il faut utiliser plusieurs de ces moyens de communication dans son plan de sensibilisation et varier d’une année sur l’autre afin de diversifier l’enseignement de la sécurité.

Communication écrite

Les médias de communication peuvent être l’Intranet, le mail mais aussi des documents tels que la charte informatique qu’on n’oubliera pas de communiquer dès l’arrivée dans l’entreprise. Il convient de ne pas submerger l’utilisateur d’informations (trop d’informations ou fréquence trop élevée) sans quoi il ne lira pas ou plus le contenu.

La communication peut également se faire via des panneaux mais cela demande un peu plus de  logistique et l’information est limitée. Il faudra donc utiliser ce média pour des campagnes bien ciblées et pour des problématiques identifiées et impactantes pour l’entreprise.

Serious Gaming

On commence à voir apparaître depuis quelques années les serious gaming qui sont des jeux mettant l’utilisateur dans des situations basées sur des scénettes. Ces serious games existent dans divers domaines dont la sécurité informatique. L’inconvénient des serious game reste le fait que l’on se situe dans le domaine du « virtuel ».

Formation en présentiel

Contrairement au serious game « virtuel », la formation en présentiel est ancré dans le réel avec un enseignant. C’est un moyen de sensibilisation efficace car il permet d’impliquer l’utilisateur sur les thématiques de la sécurité. La seule problématique étant de motiver l’utilisateur à s’inscrire à une formation sécurité. L’implication de direction générale de l’entreprise, via une communication à ses employés, est donc importante pour la réussite de ces campagnes de sensibilisation. Un autre avantage important est que cette formation peut être financée par les fonds de formation auxquels cotise l’entreprise.

E-learning (formation à distance)

L’enseignement à distance est très intéressant car il s’adapte aux disponibilités des collaborateurs et permet une formation en masse de ses utilisateurs, ce que ne permet pas une formation en présentiel . Il prend d’ailleurs tout son sens dans le cadre d’une structure décentralisée. Il faut cependant éviter de le proposer comme une formation à suivre en dehors de l’entreprise car l’employé aura l’impression d’amener du travail chez lui et risque donc de ne pas apprécier la démarche. Une formation de sécurité vidéo en e-learning constitue une solution pour les entreprises qui souhaiteraient un enseignement avec un professeur tout en s’affranchissant des contraintes de temps, de distance et de budget.

Quelle approche adopter pour cette sensibilisation sécurité ?

Il faut être honnête : la sécurité informatique ne passionne pas les utilisateurs. Les seules questions qui les intéressent sont généralement : « est-ce que vous pouvez lire mes mails ? » et « est-ce que vous pouvez lire les fichiers sur mon disque dur ? ».

Une sensibilisation sécurité qui porte uniquement sur la communication écrite (charte informatique, PSSI, mails, intranet,…) sera donc rarement efficace. L’utilisateur n’y percevra qu’un ensemble de  contraintes et ne prendra pas le temps de lire et comprendre ces documents.

Pour cette raison, la communication constituée de supports écrits ne suffit pas.

L’approche la plus adaptée est d’expliquer de vive voix la raison d’être de ces règles  et de responsabiliser l’utilisateur en lui expliquant la démarche. La formation en présentiel est idéale car il existe une interaction entre le formateur et les apprenants. Mais elle est complexe à organiser au sein d’une entreprise.

Le format e-learning sous forme de vidéos pré-enregistrées est une solution intéressante qui permettra d’offrir une communication visuelle tout en garantissant une souplesse d’utilisation, à la demande.

L’enjeu d’une sensibilisation  sera d’expliquer le fondement même de la sécurité. L’utilisateur ne doit pas simplement suivre les recommandations, il doit les comprendre, les assimiler et les partager, sans quoi il ne les suivra pas. L’approche est donc semblable à celle utilisée dans un projet de conduite du changement.

L’élément le plus important reste la compréhension du discours. Une formation donnant des détails techniques risque de faire lacher prise à l’apprenant qui ne comprendra rien. Il faut adapter le discours au niveau de chacun car un utilisateur « lambda » n’a pas le même profil et connaissances qu’un informaticien.

Il faudra également faire preuve d’imagination et dynamisme afin que la formation intéresse les participants.

Quand à savoir s’il faut imposer ou pas la sensibilisation sécurité à ses collaborateurs, les avis sont partagés. Si votre entreprise souhaite se faire certifier ISO27001, vous n’aurez pas le choix et devrez imposer cette sensibilisation à tous vos collaborateurs.

En dehors de ce type d’obligations, je vous conseille d’imposer la formation au regard des risques encourus sur votre système d’information. Les risques et menaces pesant sur l’entreprise sont tels que l’on ne peut plus se permettre de rendre optionnel ce type de formation qui est stratégique pour la défense de l’entreprise.

La réussite de ce projet, imposé ou pas, est lié à l’adhésion de l’utilisateur à ce projet. Si vous expliquez pourquoi cette sensibilisation est obligatoire et pourquoi toutes les mesures de sécurité en place sont importantes pour l’entreprise, vous aurez plus de chance que votre projet de sensibilisation soit une réussite.

Sur quoi doit porter une formation de sensibilisation ?

Il convient, en premier lieu, et comme expliqué dans le paragraphe précédent, d’expliquer pourquoi la sécurité informatique  est cruciale pour l’entreprise mais aussi pour l’utilisateur, de lui faire comprendre les menaces qui pèsent aujourd’hui pour tout utilisateur d’un système connecté.

L’assimilation de la sécurité par l’utilisateur étant faite, on pourra alors étudier les bonnes pratiques de sécurité en partant des menaces.

On ne pourrait néanmoins enseigner les bonnes pratiques d’une manière unique pour tous. Car les règles en vigueur, ainsi que les systèmes de protection en place, varient d’une entreprise à l’autre. Exemple : vous ne pouvez pas conseiller aux utilisateurs disposant d’ordinateurs portables de chiffrer leurs données sensibles s’ils ne disposent pas d’outils de chiffrement mis à disposition par leur entreprise.

Il conviendra donc d’adapter la formation aux règles  (charte informatique + PSSI) et, idéalement, aux outils de l’entreprise afin qu’elle soit plus efficace.

La formation pourra également varier  selon les populations (administrateurs, développeurs, utilisateurs « lambda », utilisateurs itinérants…) ou faire l’objet d’un module général et de modules spécifiques complémentaires.

Contrairement à ce que l’on pourrait penser, les informaticiens ne sont pas les plus aguerris en terme de sécurité. Et pourtant, le risque est plus important pour eux car ils disposent de plus de droits d’accès aux systèmes que l’utilisateur lambda.

En conclusion

Pour être efficace, la sécurité doit adresser tous les domaines. La sensibilisation des utilisateurs à la sécurité en est une composante importante, souvent négligée.

Ne former que les responsables, les informaticiens ou les comptables d’une entreprise n’est pas suffisant. Tous les collaborateurs devraient être sensibilisés à la sécurité de leur entreprise.

Il faut également garder à l’esprit que la sécurité ne concerne pas seulement les salariés mais aussi les externes de l’entreprise à qui il conviendra de rappeler les pratiques en vigueur.

Que peut faire 1blink pour vous ?

Nous avons créé une formation accessible en e-learning nommé « le maillon fort » et qui a pour objectif de transformer vos collaborateurs en maillons forts de la sécurité de votre entreprise.

C’est une formation composée de vidéos pré-enregistrées abordant toutes les thématiques de la sécurité. Cette formation est accessible à tous les utilisateurs car elle n’est pas technique. De plus, cette formation peut être installée sur la plateforme de formation interne à votre entreprise.

Vous pouvez consulter une vidéo de présentation de cette formation sur la page de notre formation sensibilisation sécurité.

Nous vous proposons de tester cette formation gratuitement afin de vérifier par vous même, si elle répond à votre besoin.

Nous pouvons également produire des vidéos de sensibilisation à la sécurité adaptées à votre entreprise, que vous pourriez diffuser chaque mois sur votre intranet.

Si vous souhaitez plus d’informations ou souhaitez nous rencontrer, appelez-nous ou envoyez-nous un email !