Sécurité du SI : la principale faille, c’est vous !

La sécurité des données est un enjeu clé pour les entreprises. Dans un monde de plus en plus connecté, la cybercriminalité ne cesse d’augmenter. Les nouvelles technologies, omniprésentes, changent nos usages personnels et professionnels.

Sécurité du SI : la principale faille, c’est vous !

La sécurité des données pour lutter contre la cybercriminalité

Ce phénomène engendre, bien malgré lui, des nouveaux risques pour l’entreprise. TV5 Monde, HSBC, SONY et bien d’autres ont déjà subi des dommages collatéraux : pertes de données confidentielles, pertes financières, avantage concurrentiel menacé déclin de la confiance des actionnaires et investisseurs, image dégradée… Par ailleurs, la multiplication des devices et des objets connectés (tablettes, watchs et autres wearables) peut poser des problèmes de sécurité.

Visant par exemple la destruction des données ou l’espionnage économique et industriel, les malveillances sont légion. Pour limiter les risques, la sécurité du SI se place donc au cœur de la stratégie de l’entreprise.

La sécurité du SI : un dispositif centré sur l’humain

Trop souvent, le rôle de l’employé et les risques liés à son comportement sont négligés.

Le saviez-vous ?

L’utilisation des meilleurs logiciels, des technologies les plus avancées, n’assure jamais à 100 % l’invulnérabilité d’un système. Dans la plupart des cas, l’homme est le point d’entrée des attaques.

Incidents de sécurité informatique liés au facteur humain

Etude de BalaBit IT Security / Etude Trendmicro – 2013/ Etude de Dashlane – 2013/ Etude de Splashdata – 2014

L’employé n’adopte pas toujours un comportement « sécurité » et, est, à son insu, « déclencheur » de nombreuses attaques et d’intrusions.

Business & Decision accompagne ses clients sur la sensibilisation à la sécurité des données en agissant sur le facteur humain. Dans la seconde partie de cet article, je vais vous présenter une méthodologie utilisée chez l’un de nos clients, acteur majeur du domaine de l’aéronautique. L’objectif était d’instaurer une véritable culture sécurité et ainsi limiter les risques d’attaques de façon considérable.

Sensibiliser à la sécurité : un enjeu de taille pour les entreprises

La sensibilisation doit pousser au changement de comportement et à l’adoption de bonnes pratiques et de reflexes « sécurité » au quotidien : protéger ses informations confidentielles, renforcer son mot de passe, utiliser les réseaux sociaux à bon escient…

Une campagne de sensibilisation passera par trois phases. Une première étape consiste à informer par des actions de communication interne. Ensuite, l’entreprise amorce la phase de changement. Et, enfin, elle instaure des actions de maintien pour ancrer les nouveaux comportements dans la durée.

La théorie Prochaska et DiClemente

Cette approche se base ainsi sur l’humain : son comportement, ses émotions et son rythme.

Comment agir sur le comportement des salariés ?

L’employé est ultra-connecté, donc constamment submergé d’informations. Son temps de concentration est réduit car les sujets affluent de toutes parts à travers divers médias.

networker-teacher

Pour l’interpeller et veiller à sa sensibilisation, il est important de provoquer chez lui une émotion. L’émotion est impérative pour lui permettre de s’identifier, se projeter, et remettre en question son propre comportement.

Trop de campagnes de sensibilisation sont anxiogènes : la peur et le « sermonnage ». Cela se répercute directement sur l’image de la sécurité des données dans l’entreprise : jugée trop sérieuse et psychorigide par les employés. Autant d’éléments qui transmettent des émotions négatives et qui causent souvent un déni du message face à la dureté des conséquences perçues (effet boomerang).

D’après certaines études sur le comportement, la transmission d’émotions positives (joie, surprise, humour…) est plus favorable à l’adhésion des employés. Les campagnes s’inscrivent donc dans une démarche de proximité avec les employés : plus digitales, plus impliquantes et plus interactives. Aucun média n’est épargné, la sensibilisation afflue de partout, tout le temps.

Des actions de sensibilisation

Plusieurs exemples d’action de sensibilisation (récurrentes ou ponctuelles) mises en place :

  • Vidéos de sensibilisation diffusées sur les écrans TV et relayée sur l’Intranet.
    Nous avons par exemple réalisé une campagne de sensibilisation pour Airbus Group. Une de ses vidéos, visible sur le site du Festival international du film d’entreprise « Canne Corporate Media and TV Awards 2015 » s’est d’ailleurs vu décerner un Dauphin d’Or le 15 octobre 2015.
  • Posters affichés dans les espaces communs
  • Fiches « bonnes pratiques », apportant des solutions concrètes pour adopter un comportement « sécurité » en toutes circonstances
  • « Posts » diffusés sur le réseau social d’entreprise
  • Quizz sécurité, avec des cadeaux à remporter par les gagnants
  • Sessions de sensibilisation pour des populations clefs
  • Jeu de cartes, des guides, des goodies…
  • Evénements sécurité réunissant des experts sécurité
  • Mises en situation de « Phishing » visant à transmettre les bonnes pratiques

Un plan de sensibilisation peut donc être conçu sur le long terme (2 à 3 ans). Il peut par ailleurs intégrer divers actions et médias qui visent à informer et à impliquer. Ils apportent des solutions concrètes et simples à appliquer au quotidien.

Si vous souhaitez en savoir plus sur la conduite du changement pour la sécurité en entreprise, n’hésitez pas à nous contacter via ce formulaire.

 

  • A propos
  • Derniers articles

Valérie Duman

Consultante en conduite du changement à Metaphora

En tant que consultante, j'accompagne mes clients dans leur conduite opérationnelle du changement.

Il n'existe pas de commentaire pour le moment.

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*