Sensibiliser à la cyber : 6 règles à suivre

Les collaborateurs sont souvent présentés comme les maillons faibles de la chaîne de protection des données. Pourtant, s’ils sont sensibilisés et informés des risques que certaines de leurs actions peuvent faire prendre à leur organisation, ils constituent une barrière solide contre les cyberattaques.

Loin d’être exhaustif, cet article a vocation à aider les RSSI, comme les autres responsables de la sécurité, à créer et piloter des campagnes de sensibilisation efficaces.

La mise en place d’une campagne de sensibilisation nécessite une vision à long terme et une réponse à des objectifs précis. Dans cette optique, il est essentiel de détailler les besoins et de définir une stratégie de sensibilisation. Elle répond à deux objectifs :

• identifier les cibles ;
• piloter le chantier « sensibilisation ».

Ces deux points doivent bien entendu être adaptés à la taille de l’entreprise. Plus la structure sera grande, plus les cibles seront nombreuses. Il en est de même pour le pilotage qui nécessitera un maillage plus ou moins important.

Définir une stratégie de sensibilisation revient à éclaircir les points suivants :

• Les langues : quelle est la langue la plus parlée ? En général, les langues choisies sont celles qui permettent de toucher au moins 80% de la population.
• Les populations : qui doit-être sensibilisé ? Il peut s’agir des membres du comité exécutif, des managers, de l’ensemble des collaborateurs, ou de populations plus spécifiques comme les développeurs, etc.
• Les thèmes : sur quel(s) risque(s) souhaite-t-on alerter ? Quelles bonnes pratiques faut-il aborder ?
• Les priorités : quelles sont les cibles prioritaires la première année ? La seconde ? Quels thèmes doivent être récurrents ?
• Les vecteurs : quels sont les vecteurs de communication et de sensibilisation disponibles dans l’entreprise ? Faut-il déployer de nouveaux vecteurs ?
• Les contraintes : quels sont les délais ? Quel budget doit-on respecter ?

Point clé : faire la différence entre piloter et déployer

Pour une campagne réussie, il faut distinguer « pilotage » et « déploiement ». Les multiples actions prévues par la campagne de sensibilisation ne peuvent être mises en place par un responsable seul. Il faut donc prévoir une organisation basée sur un réseau de relais. Ils seront en charge d’une partie des actions de sensibilisation.

Concrètement, un comité de pilotage suit l’avancement du projet de sensibilisation. Les actions concrètes comme la diffusion des messages ou la mise à disposition des supports sont gérées par un comité de suivi. Cette manière de procéder est particulièrement conseillée dans le cas d’une entreprise multi-sites.

Il est fondamental d’intégrer, très en amont, les équipes en charge de la communication. En effet, elles disposent d’une expertise qui peut se révéler précieuse, notamment sur le style le plus adapté, les éléments de langage à utiliser ou éviter, etc.

Elles sont aussi en mesure de diffuser les messages à l’ensemble des collaborateurs via leurs propres réseaux de diffusion interne.

Dans une campagne de sensibilisation, l’important est de marquer les esprits. Il faut faire en sorte que les collaborateurs ciblés se sentent concernés et retiennent les enseignements proposés.

Idéalement, une campagne efficace doit pouvoir proposer des dispositifs adaptés aux différentes cibles et mixer divers outils de sensibilisation (e-learning, jeux, affichages, e-mails, etc.).

Il serait dommage de négliger le ton et l’identité visuelle de la campagne. L’humour et le jeu restent des vecteurs d’apprentissage et de mémorisation précieux dont il ne faut pas se priver.

Le lancement d’une campagne de sensibilisation motive ou non sa réussite. Ce moment a pour but :

• d’interpeller les participants ;
• de favoriser rapidement l’adhésion des cibles ;
• de fédérer autour du projet (susciter le bouche-à-oreille).

Plusieurs options sont envisageables (en fonction, bien entendu, du budget), de l’annonce par mail à la journée dédiée avec plusieurs animations.

Voici quelques exemples de stands originaux que nous avons coutume de réaliser :

Comment juge-t-on qu’une campagne de sensibilisation est réussie ? Il est recommandé de définir des indicateurs précis et mesurables. Ils sont propres à chaque entreprise et surtout à chaque campagne.

Combien de temps faut-il pour sensibiliser ses collaborateurs à la cyber ? Nous planifions le plus souvent des stratégies s’étalant sur plusieurs mois voire plusieurs années. Rome ne s’est pas construite en un jour ; pour provoquer et faire durer le changement dans les comportements, la patience est clé.

*Computer Emergency Response Team, centre de détections des alertes.