olly - Fotolia
Sécurité des systèmes d’information : comment sensibiliser tous les acteurs de l’entreprise
La sensibilisation aux risques technologiques est menée par les RSSI. Mais elle associe également le département RH.
Jean-François Louâpre, RSSI et vice-président du Cesin (Club des experts de la sécurité de l'information et du numérique) est formel : « Il est indispensable de sensibiliser l’utilisateur à la sécurité des systèmes d’information. Cela reste une composante incontournable de la démarche globale de sécurité». De fait toutes les grandes entreprises aujourd’hui mais aussi les ETI et certaines PME ont mis en place des plans de sensibilisation voire de formation à cette problématique.
Il est vrai que les chiffres poussent à être actif et même pro-actif. Une étude publiée ce 15 octobre par PwC révèle qu’en France, le nombre de cyber-attaques touchant les entreprises a progressé de 51% au cours des 12 derniers mois.
Si certains de ses confrères doute de l’efficacité de la démarche, Jean-François Louâpre pour sa part conserve une vision positive de la sensibilisation : « Il faut mettre le salarié au cœur de la démarche de sécurité. C’est un peu plus facile aujourd’hui qu’il y a 10 ans car les utilisateurs se sentent davantage concernés à titre personnel. Il faut donc parler d’eux, de leur rôle en tant que citoyen pour protéger leurs données personnelles ».
Faire évoluer la formation
Autre élément important : faire évoluer la formation car les risques eux-mêmes changent et se complexifient. La fraude au président, la phishing, l’ingénierie sociale… se sont développés ces dernières années et doivent être pris en compte.
Quant à la forme et à la méthode, Jean-François Louâpre préconise la variété : « il peut y avoir des programmes de fonds. Dans ce cas, il est nécessaire de s’appuyer sur les RH car cela s’inscrit dans une démarche globale de formation, comme l’incendie par exemple. A cette occasion, le DRH peut mettre en place une plate-forme d’e-learning ou un dispositif de suivi de session ». Les RSSI voire des experts extérieurs intervenant alors pour apporter le contenu pédagogique.
Par ailleurs, un incident de sécurité exposé au public ou qui a touché l’entreprise peut être aussi l’occasion de faire de la communication d’opportunité. Avec des effets parfois vertueux « bien sensibilisés, les salariés peuvent avoir un rôle d’alerte et détecter les comportements anormaux ».
La principale difficulté, reconnaît le vice-président du Cesin est lorsqu’il faut s’adresser aux Top Managers : « on ne les sensibilise pas comme le reste de l’entreprise. Il faut un discours adapté et trouver une façon différente de passer le message. Il faut leur montrer qu’ils ont un rôle d’exemplarité à jouer dans la démarche ».