Entrer un mot clé

post

La sensibilisation à la sécurite de l’information est incontournable

La sensibilisation à la sécurite de l’information est incontournable

Il y a quelques semaines paraissait sur le blog d’Arismore une interview d’un de nos experts sur l’opportunité de former tous les acteurs de l’entreprise à la sécurité du SI. Au vu de l’actualité de ces derniers jours, ce sujet nous a semblé d’intérêt général. Nous vous proposons d’en (re)prendre connaissance ici. Arismore Academy est votre partenaire de formation pour définir et mettre en place ces programmes à l’échelle de l’entreprise, pour sensibiliser et former tous les acteurs à la Sécurité

Par Renaud Vayssade, formateur Arismore Academy et consultant Change Management

La sécurité de l’information doit être abordée autour de 3 axes majeurs : 

L’axe technologique

L’Axe technologique où quels moyens techniques je mets en place pour sécuriser mon Système d’Information (SI).

Aujourd’hui, les acteurs du marché de la sécurité proposent un large choix de solutions et d’outils permettant aux entreprises de sécuriser leur SI. Il en va de la responsabilité des Directions Informatiques et/ou du Digital de proposer les mesures et les capacités adaptées et suffisamment robustes pour contrebalancer l’augmentation des vulnérabilités, des menaces et des impacts sur leurs environnements.

Cet article n’abordera pas ces aspects technologiques, nos experts en sécurité étant plus à-même de prodiguer des conseils sur vos environnements.

L’axe de gouvernance

L’Axe de gouvernance, ou quelle organisation, quel sponsorship, quelle mesure de risque je dois mettre en place pour garantir la pérennité de la sécurité de mon SI.

Compte tenu de leur ancrage dans le digital de plus en plus important, les entreprises ont compris l’intérêt de nommer des champions de la sécurité au sein de leur organisation via des rôles comme le RSSI (Responsable de la Sécurité du Système d’Information) ou encore le DPO (Data Protection Officer). Toutefois, le champ d’intervention et les mesures à prendre restent ouverts au regard de l’évolution, de la complexité et de la diversité des attaques auxquelles ces entreprises peuvent faire face.

Là encore, cet article n’abordera pas ces aspects de gouvernance sur lesquels notre RSSI sera plus pertinent.

L’axe comportemental

L’Axe comportemental, ou comment je m’assure que mes utilisateurs font le bon usage des outils informatiques que je mets à leur disposition sans créer des failles de sécurité sur le SI.

La technologie ne peut fonctionner que si les collaborateurs ont un comportement adapté vis-à-vis des informations qu’ils traitent. Nous pourrions mettre en place tous les moyens disponibles, il persistera toujours une faille de sécurité liée au comportement des utilisateurs et leurs usages des outils mis à leur disposition.

L’entreprise doit donc faire baisser le risque digital en mettant en place des actions ciblées et personnalisées de sensibilisation à la sécurité de son Système d’Information à destination de ses utilisateurs.

Dans cette optique, nos clients ont régulièrement les questionnements suivants :

  1. Comment intéresser les collaborateurs autour d’un sujet en substance complexe, consommateur de temps et peu attrayant ?
  2. Comment faire en sorte que les utilisateurs acquiert rapidement et simplement les bon comportements et les bons réflexes par rapport à la sécurité du SI mise en place ?
  3. Comment pérenniser et adapter au quotidien les bonnes pratiques de sécurité au sein de l’Organisation ?

Pour que la sensibilisation à la sécurité de l’information soit impactante, le collaborateur doit donc y trouver un intérêt. C’est pourquoi, la phase d’accompagnement va s’articuler autour de l’utilisateur et de ses usages du quotidien.

 

3 leviers pour faciliter l’adhésion et susciter l’intérêt

Nous mettons en oeuvre 3 leviers sur lesquels nous nous appuyons pour faciliter l’adhésion et susciter l’intérêt autour de la sécurité de l’information.

 

Impliquer les personnes

L’utilisateur doit devenir acteur du processus de sensibilisation. On peut par exemple
le faire participer à des quiz, des tables rondes où tout autre interaction sur laquelle il sent que nous lui portons un intérêt.

 

S’inspirer du quotidien et des expériences personnelles

On peut prendre des exemples de la vie courante et les transposer au sujet abordé. Par exemple, lorsqu’il faut sensibiliser les utilisateurs au fait de ne pas donner leurs identifiants et mots de passe nous l’associons au fait qu’il ne viendrait pas à l’idée de divulguer leur code de carte bancaire tout à la donnant à un inconnu.

 

Des séquences courtes et dynamiques

L’idée est de garder l’utilisateur toujours concentré et impliqué, et lui permettre de se focaliser sur l’essentiel.

Il faut être capable de lui donner des éléments ciblés sur un temps donné pour s’assurer que les messages restent.