La protection du patrimoine informationnel de l’entreprise contre les différentes menaces, qu’elles soient internes ou externes, est devenue un enjeu majeur pour les entreprises. Si de nombreuses solutions techniques et organisationnelles sont déjà en place, le maillon faible est souvent le comportement des utilisateurs ! La sensibilisation des collaborateurs est donc un élément clé de la démarche de sécurité de l’information. Mais quelles sont les pratiques des grandes entreprises à ce sujet aujourd’hui ? Quels sont les nouveaux challenges de la sensibilisation ? Pour répondre à ces questions, Solucom a analysé les pratiques de près de 25 grandes entreprises françaises.
Sensibiliser, mais à quel prix ?
Affiches, e-mails, jeux, etc., il existe une multitude de moyens de sensibilisation présentant chacun leurs avantages et leurs défauts. Largement plébiscité par 78% des entreprises du panel étudié, l’e-mail est le vecteur de sensibilisation le plus utilisé. Facile à déployer, peu coûteux, il n’est néanmoins pas suffisant pour garantir l’efficacité d’une campagne de sensibilisation à la sécurité de l’information. Ainsi, plus de 60% des entreprises optent pour la mise en place complémentaire d’évènements sécurité et de contenu dynamique sur Intranet, la diffusion de plaquettes et de fiches pratiques. Seules 25% des entreprises utilisent des solutions plus élaborées telles que la diffusion de contenu multimédia, la mise en place d’e-learning ou encore le déploiement de jeux et de quizz.
Comment expliquer l’utilisation massive d’e-mails qui ne seront pas forcement efficaces alors que la diffusion d’un contenu multimédia assurerait un impact plus important auprès des collaborateurs à sensibiliser ? La réponse tient en un mot : budget. Là où une campagne de mailing représentera un coût pratiquement nul pour l’entreprise, le tournage d’un clip vidéo de sensibilisation ou la mise en place d’un e-learning peuvent s’élever à plusieurs dizaines de milliers d’euros, notamment en cas de recours à une agence de communication. Seules les entreprises ayant les budgets sensibilisation les plus importants peuvent donc orienter vers cette solution.
Les mêmes moyens de sensibilisation pour tous ? Focus sur le Plan de Continuité d’Activité (PCA)
Seules 25% des entreprises utilisent l’e-mail comme moyen de sensibilisation au PCA alors qu’elles sont 78% à l’utiliser pour la sensibilisation à la sécurité de l’information. Cette différence tient dans le fait que la sensibilisation au PCA vise notamment à inculquer les réflexes à avoir en cas de sinistre informatique. Les supports dématérialisés ne seraient donc plus accessibles ! Les plaquettes sont dès lors beaucoup plus utilisées. Cela illustre la nécessité d’adapter les supports de sensibilisation, que ce soit en fonction de la cible visée ou des spécificités du sujet traité.
La sensibilisation à la sécurité de l’information et nouvelles technologies : une course contre la montre
Web 2.0, réseaux sociaux, Bring Your Own Device, etc., ces nouvelles pratiques ne cessent de se développer au sein des entreprises, amenant avec elles de nouvelles menaces pour la sécurité de l’information. La maîtrise des risques liés à ces services évoluant en permanence nécessite un effort constant pour rester efficace et ne pas subir l’innovation. La démocratisation progressive de l’utilisation de ces services au sein de l’entreprise doit donc s’accompagner d’une sensibilisation à leur utilisation en toute sécurité.
Parmi les usages récents, l’utilisation des réseaux sociaux s’est généralisée depuis 2008. 65% des entreprises en autorisent maintenant l’usage, majoritairement en en limitant l’accès à certaines populations métier (55%). Mais ces outils ayant pénétré aussi nos vies personnelles, elles sont aujourd’hui plus de 90% à sensibiliser leurs collaborateurs aux risques inhérents à leur utilisation. En revanche, le BYOD et les services de cloud computing personnels (Dropbox, Google Drive…) qui sont plus récents et moins répandus font encore peu l’objet de l’attention des utilisateurs : 12% des entreprises sensibilisent leurs collaborateurs au risque de fuite d’information que représentent ces derniers, et seulement 8% les sensibilisent aux risques du Bring Your Own Device.
L’un des grands enjeux de la sécurité de l’information aujourd’hui est donc, à défaut de pouvoir traiter immédiatement toutes les menaces, de tenter de réduire le délai entre leur apparition et leur prise en compte effective !
[Article rédigé en collaboration avec Loïc Dechoux, consultant]