Sébastien Viou, consultant cybersécurité pour SFR Business, partage ses conseils pratiques pour les entreprises qui veulent mieux sensibiliser leurs collaborateurs aux enjeux de sécurité du numérique.
>> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le !
Pourquoi est-il important de changer notre façon d’appréhender la sensibilisation à la cybersécurité ?
Sébastien Viou. La sensibilisation actuelle ne fonctionne pas ou peu. Recevoir des conseils du type « Ne faites pas ci/Ne faites pas ça » par e-mail, passer devant des affiches dans le couloir ou encore recevoir un guide, que très peu de personnes lisent réellement, n’a pas amélioré la culture sécurité de beaucoup d’entreprises ces dernières années. C’est un problème qu’il faut résoudre.
C’est-à-dire ?
Sébastien Viou. On essaye de sensibiliser les « salariés ». C’est une erreur ! L’importance est de sensibiliser des personnes à part entière, pas seulement des rôles dans une entreprise. Cela ne nous viendrait pas à l’idée de procéder de la sorte en matière de sécurité routière par exemple, en différenciant le comportement d’un commercial qui utilise une voiture de fonction, de celui qu’il adopte quand il part en week-end avec sa famille… Inculquer des réflexes dogmatiques est contre-productif. La répression ne marche pas mieux.
Quelle est la solution alors ?
Sébastien Viou. L’humain n’aime pas les ordres, les contraintes et fait tout pour les contourner – les punitions ne changent pas cela. Et la culpabilité encore moins. Or, quand on construit sa stratégie de sensibilisation autour de l’idée que l’utilisateur de solutions numériques est une faille, c’est exactement ce à quoi on fait appel. Pourtant, les individus sont littéralement les principaux assets d’une entreprise. Elle n’existe, ni ne fonctionne sans eux. Et ce sont des adultes capables d’entendre un discours qui expose cette réalité : « Vous êtes précieux et important pour notre activité, et c’est cela qui vous rend vulnérable : aidez donc l’entreprise à vous protéger pour qu’on en sorte tous gagnants. »
Concrètement, comment peut se traduire cette philosophie ?
Sébastien Viou. Il reste essentiel d’avoir des règles de sécurité à suivre, mais les plus exigeantes doivent donc se concentrer sur ce qui compte vraiment. La priorité est d’avoir mis en place un processus qui permet de savoir « où » il faut vraiment insister sur la sécurité dans l’entreprise. Ce qui va expliquer la finalité et le sens des contraintes aux personnes concernées. Le meilleur argument sera toujours de montrer le bon exemple. Une organisation ne peut voir émerger une culture sécurité si ses managers et ses dirigeants ne s’astreignent pas à avoir des comportements inspirants en la matière. Pour dépasser la sensibilisation passagère et voir se diffuser des réflexes utiles, il faut commencer par là.
Qu’est-ce qui fonctionne le mieux ?
Sébastien Viou. Comme dans tout apprentissage dans la vie en général : ce qui s’adresse directement à l’humain. Les échanges directs, informels sont beaucoup plus efficaces que les séances de formation académiques. La dimension ludique peut aider, mais elle doit être amenée par petite touche : le serious gaming a justement le problème de faire de la gamification quelque chose d’extrêmement rigide… Évitons de croire que tout le monde apprécie les jeux, ou les supports électroniques ! La majorité des collaborateurs ne veulent pas avoir un « écran de plus » dans la journée. La sécurité n’est pas une affaire de geek. Il faut pouvoir s’adresser à des parents et à des enfants ; nous le sommes tous, bien avant d’être des salariés. Et si l’on veut voir les comportements évoluer dans les entreprises, il faut que les comportements en dehors des entreprises changent. On peut aider dans ce sens en fournissant des outils et des conseils qui sont utiles dans la vie de tous les jours. La culture sécurité ne doit pas être limitée à un périmètre professionnel et d’expertise. Une fois ce parti pris adopté, il existe des ressources qui peuvent être activées facilement : un RSSI ne devrait pas perdre de temps à concevoir les outils de base, alors qu’il existe des kits de sensibilisation tout prêts sur le marché, qui intègrent des clés USB piratées et d’autres matériels utiles. De même pour les campagnes de phishings qui peuvent être testées en interne. Quant à la façon de trouver les bons messages et les bons médias pour être sûr qu’ils vont faire mouche, autant aller chercher ces talents-là où ils sont : dans les agences de communication, de marketing ou média !
>> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le !