Dans les multiples facettes du bon RSSI, l’une des plus importantes est de savoir communiquer. Malheureusement cela ne s’apprend pas simplement, en tout cas pas dans les formations classiques de l’ingénieur. Je me souviendrai longtemps qu’une fois mon diplôme en poche en 1976, mon premier job fut d’être assistant d’enseignement dans une grande école administrative. Me retrouver face à des élèves qui avaient mon âge afin de leur enseigner ce que je venais d’apprendre fut très déstabilisant, surtout quand on a le tempérament d’une huitre bretonne.
Or, dans ses missions au quotidien, le RSSI doit passer beaucoup de temps à communiquer et ses interlocuteurs sont multiples et variés :
- Les collaborateurs, pour les sensibiliser à la sécurité informatique et parfois les former aux bonnes pratiques ;
- La Direction Générale via le COMEX, par temps calme pour valider les axes stratégiques de sécurité ou par temps de crise pour expliquer la situation et les remédiations possibles ;
- La DSI ;
- Les métiers et les entités support de l’entreprise, RH, juridique, IRP, filiales, etc. ;
- Les organismes extérieurs : autorités, partenaires, journalistes, etc. ;
- Les clients : entreprises ou clients finaux.
Les sensibilisations et formations
Les communications institutionnelles de type sensibilisation et formation nécessitent une grande préparation car elles vont dépendre de l’auditoire. Le même message doit être adapté selon qu’on parle à des collaborateurs pour lesquels l’informatique n’est qu’un outil et ceux pour qui c’est le cœur de métier comme les collaborateurs de la DSI par exemple, pour lesquels les messages doivent être très directifs. Les exemples doivent être adaptés à l’auditoire pour accrocher son attention et ceux tirés de la vie de tous les jours sont souvent très pertinents car une bonne pratique utilisée dans le cadre privé sera répliquée dans le cadre professionnel, et vice versa.
On dit souvent que la formation c’est la répétition. C’est vrai, mais il faut en revanche prendre garde à ne pas créer de lassitude, du genre « On a déjà eu ça l’an passé ». Il faut donc varier les vecteurs de sensibilisation. La communication orale peut se faire en présentiel, c’est-à-dire en répétant le message devant des groupes d’une vingtaine de personnes. Le message peut être adressé directement, en revanche ce mode est très consommateur de temps surtout si l’auditoire ciblé est important. Il est alors possible de démultiplier les formateurs ou s’appuyer sur un prestataire.
Il faut trouver toutes les occasions de s’adresser au personnel en s’immisçant par exemple dans les présentations d’autres collègues comme une présentation commerciale, marketing ou technique et y « glisser » quelques messages liés à la sécurité informatique. Si l’entreprise dispose d’une période d’intégration des nouveaux collaborateurs, il est important que le RSSI y ait une place afin de présenter les règles internes de sécurité de l’information et les pratiques à proscrire.
Beaucoup de sociétés utilisent également la messagerie interne pour diffuser des messages de sécurité. L’utilisation de serious games est également un moyen à la fois ludique et adaptable à l’auditoire pour faire passer de bons messages. Il peut également être récompensé « d’incentives » sous la forme d’une récompense aux meilleurs joueurs. Selon les moyens de l’entreprise et de sa taille, des films de sensibilisation peuvent également être réalisés.
Une autre approche via le réseau interne peut être parfois utilisée mais avec beaucoup de précaution. Il s’agit d’envoyer des mails de simulation de fishing (inertes bien sûr) afin de voir qui « cliquera » sur le message frauduleux. Ceci doit être fortement encadré préalablement et le mode de communication vers les « perdants » également. Il ne s’agit pas de les montrer du doigt ou de les pénaliser mais au contraire d’éveiller leur attention à reconnaître de vrais fishing. Plus simplement, des post-it, tapis de souris contenant des messages et bonnes pratiques de sécurité peuvent être fabriqués ainsi que des affichettes apposées dans les coins café ou imprimantes.
En situation de crise comme une campagne de malware (nationale, internationale ou sectorielle), il est important d’alerter l’ensemble du personnel par un mail corédigé avec la Direction et/ou la DSI, afin de mobiliser son attention. Il est aussi intéressant de rebondir sur la post-crise afin de renouveler les préconisations sur les bonnes attitudes de sécurité.
La communication à la Direction Générale
La communication vers le COMEX nécessite un autre type de préparation. Les messages doivent être concis, ciblés et explicites (pas de langage technique). Ils doivent s’accompagner d’indicateurs stratégiques Il ne s’agit pas d’exposer des problèmes mais de faire valider des solutions valorisées au regard des risques encourus. La contextualisation aux événements qui touchent d’autres entreprises du même secteur ou de même taille permet de crédibiliser les messages. En cas de crise avérée pour l’entreprise, il faut rapidement disposer d’éléments d’analyse et des modalités de remédiation en coordination avec la DSI.
Et la formation du RSSI ?
Tout cela ne s’improvise pas et nécessite des compétences personnelles indéniables. Comme tout cadre d’entreprise le RSSI peut bénéficier dans sa formation continue de formations à la communication. Il pourra alors apprendre des techniques classiques pour développer l’empathie avec l’auditoire, utiliser de la communication positive et non violente, travailler sa posture physique et sa respiration.
Il lui faudra bien sûr posséder à fond son discours sur les règles de sécurité sans transférer sa paranoïa des risques à son public mais au contraire faire en sorte que ses auditeurs deviennent ses alliés dans la lutte contre les cybermenaces.
LES BONS REFLEXES :
- Féliciter/motiver les collaborateurs sur les bonnes attitudes (report des mails douteux) ;
- Permettre aux collaborateurs de se situer, dans leur respect des bonnes pratiques, par rapport à leurs collègues ;
- Faire des parallèles avec la vie familiale ;
- Leur expliquer les leviers psychologiques par les cyber attaquants pour tromper leur vigilance ;
- Avoir des compétences d’écoute, empathie, une intelligence émotionnelle ;
- Savoir utiliser des relais : tout le monde ne sait pas animer des formations ;
- Organiser des incentives au suivi de formation sécurité pour créer l’émulation ;
- Réutiliser ce qui est bien fait : vidéo, formations d’autres organismes (ANSSI, ENISA)
Liens utiles :
- Films de sensibilisation
- La Hack Academy
- Caribara communication : http://www.securite-des-si.com
- Serious games
- Conscio Technologies
- Getzem
- Phosforea