La sensibilisation des utilisateurs est un chantier incontournable du RSSI : sans l’adhésion et la collaboration des utilisateurs, les stratégies de sécurisation de l’information et des SI restent partielles et inefficaces. Les campagnes de sensibilisation, qui constituent un moyen essentiel pour traiter ce facteur humain, sont donc aujourd’hui largement répandues en entreprise. Mais elles souffrent d’un certain nombre de limites !
Un nouvel enjeu pour la sensibilisation à la sécurité de l’information : la génération Y pousse la porte des entreprises
La sensibilisation n’est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée ! Comme toute campagne de prévention, des « piqûres de rappel » doivent être faites régulièrement, en variant la manière de communiquer pour assurer l’assimilation des messages dans la durée sans provoquer de lassitude.
Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l’entreprise, qui n’ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l’information augmente : la fameuse génération Y.
Les « digital natives », suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l’entreprise et leur vie personnelle. Leurs usages exposent largement les informations qu’ils manipulent : données personnelles, mais aussi professionnelles ! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu’ils en aient connaissance. Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers, et ont encore plus besoin d’être convaincus et motivés.
La gamification pour renforcer l’engagement et la motivation des collaborateurs
Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d’éditeurs (Bunchball, Badgeville, Gamify…) proposent des solutions. Elle a pour principe l’application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données)
Initialement utilisée auprès des clients à des buts marketing (Flying Blue, Accor, Starbucks…) ou communautaires (Foursquare, Farmville, Nike+…), elle peut se transposer aisément au monde de l’entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique.
Lancer le challenge sécurité !
Il n’y a plus qu’un pas à faire pour l’adapter à la sécurité de l’information en entreprise. En premier lieu, il s’agit de cibler les utilisateurs et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe…) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l’univers et les mécanismes de jeu qui seront appliqués. C’est là que résidera toute la dynamique de la démarche et l’adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités !