Faire prendre conscience des risques liés à la sécurité de l’information, inscrire des réflexes dans les gestes au quotidien, susciter les bonnes interrogations auprès de collaborateurs… c’est opérer un réel changement culturel dans les entreprises ! Or une telle évolution nécessite un effort dans la durée, dont l’efficacité ne peut se mesurer instantanément.
Le défi aujourd’hui est de réussir à ancrer la sécurité durablement dans les pratiques de chacun des utilisateurs.
L’inventivité, facteur de renouveau
Que ce soit lors de la mise en place, ou dans les piqûres de rappel, l’originalité, la créativité, peut être un réel facteur d’attractivité et de différentiation de la compagne de sensibilisation à la sécurité. Pour autant ce facteur doit être mis en regard de la culture de communication interne de l’entreprise, et ce pour trouver le meilleur compromis entre originalité et crédibilité de la démarche.
La campagne doit ensuite évoluer dans le temps, ainsi que la posture en elle-même, mais également les canaux de communication. Nombreux sont les concepts, les supports qui peuvent être intégrés à la sensibilisation. Les serious games, la gamification et les applications pour smartphones ou tablettes en sont des illustrations.
L’adaptabilité, une réponse aux nouveaux usages et les risques afférents
L’évolution des usages permet de donner un nouveau souffle au catalogue de communication et formation, mais elle doit aussi être considérée sous l’angle des risques. Le BYOD (Bring Your Own Device) ou encore le Cloud en sont des cas concrets. Les objectifs de communication, les messages à diffuser vont évoluer, et ce dans l’objectif de responsabiliser davantage le personnel qui en fera l’usage. Un axe intéressant est de dresser un parallèle avec la vie quotidienne des collaborateurs afin de les responsabiliser.
La mesure d’efficacité, source d’amélioration
Chercher à s’améliorer implique de mesurer l’efficacité dans l’atteinte des objectifs initiaux. In fine, les collaborateurs sont-ils tous acteurs de la protection de l’information chacun à leur niveau ? La clé réside dans le fait que la sensibilisation est un dispositif de sécurité, et par conséquent il est important :
- D’identifier les éléments du plan de contrôle qui sont en lien avec le facteur humain d’une part. Un exemple ? Les audits intègrent-ils la notion de « bureau net », de protection physique du matériel, d’exigence de port de badges, etc. ?
- D’intégrer de nouveaux contrôles spécifiques d’autre part. Il peut s’agir de contrôles par échantillonnage qu’ils soient techniques (vérification des mots de passe par exemple) ou de l’ordre de la simple observation « terrain ».
En conclusion, comme toute démarche liée à sécurité, la sensibilisation et la formation doivent s’inscrire dans un cycle de revue tant sur le fond (messages à faire passer, collaborateurs à cibler…), que sur la forme (canaux, supports, et conception…). L’ensemble doit s’intégrer dans l’existant de l’entreprise en respectant les pratiques des ressources humaines en termes de formation et de communication interne !