Sensibilisation : comment aboutir à une culture de cybersécurité efficace ?

Cybersécurité : comment mieux sensibiliser ses collaborateurs ? | Stormshield

« Merci de mettre à jour votre mot de passe ». À la lecture de ce message, 49% des employés se contentent d’altérer l’ancien, d’après une étude HYPR de 2019. C’est ainsi que « m0tdep@$$e2019 » devient « m0tdep@$$e2020 » sans que la sécurité du système informatique ait été renforcée au passage. Faut-il en déduire que les efforts de prévention peinent à porter leurs fruits ?

La cybersécurité de l’entreprise est l’affaire de tous ; mais dans les faits, elle est plutôt l’affaire du voisin. Au-delà des outils techniques, le volet de sensibilisation et d’éducation des collaborateurs est fondamental. Et pour embarquer tous les collaborateurs, les chartes, règles de bonne conduite et autres guides sur l’hygiène numérique ne peuvent pas suffire s’ils ne sont pas imaginés dans un ensemble plus grand et motivant. Alors, c’est quoi la recette miracle d’une bonne culture cyber ?

La sensibilisation n’est pas encore un réflexe partout

Dans la dernière étude Stormshield/L’Usine Digitale, la sensibilisation aux bonnes pratiques arrive en tête des leviers cités pour faire face aux défis de la cybersécurité, mais sa mise en œuvre reste inégale : en effet, 28% des personnes interrogées n’investissent pas dans la sensibilisation des collaborateurs, ou alors de façon irrégulière.


Hygiène numérique : et s’il fallait interdire les post-it au travail ?

Franck Gicquel, Responsable des partenariats chez Cybermalveillance.gouv.fr, confirme cette hétérogénéité : « la situation est forcément très différente entre un grand groupe et une TPE, celle-ci faisant appel à un prestataire pour la gestion de son IT. Ce dernier n’est pas toujours en position de faire passer des messages de sensibilisation ».

Signal positif à l’inverse, l’étude indique que la dimension sécurité serait de plus en plus souvent intégrée lors des formations aux nouveaux outils de transformation numérique (à 48%, en hausse de 9 points par rapport au baromètre de l’année précédente).

Exemplarité ou sanction, le top management cherche son rôle

Le rôle des instances dirigeantes de l’entreprise s’avère primordial, car, en plus de faire figure d’exemple, elles seules peuvent définir le sujet de la sensibilisation comme une priorité et lui allouer les moyens nécessaires.

Or, le top management n’est pas toujours mature pour aborder ces questions. D’où l’impératif selon Gérard Leymarie, CISO du groupe Elior, d’un changement de posture de la part des DSI : « il faut sortir du mode ‘old school’, et de sa zone de confort, être proactif en allant convaincre le comité exécutif ». Pour Franck Gicquel, transformer les dirigeants en ambassadeurs des questions de cybersécurité permet de « faire varier le porteur d’un même message et d’augmenter ses chances d’être compris et adopté ».

Il faut sortir du mode ‘old school’, et de sa zone de confort, être proactif en allant convaincre le comité exécutif.

Gérard Leymarie, CISO du groupe Elior

On attend également du top management qu’il se positionne quant à d’éventuelles sanctions en matière de mauvaise hygiène numérique. Avec le RGPD, les prémices de sanctions tierces et légales se dessinent. Mais à l’exception de cas spectaculaires portant sur les mauvaises pratiques de dirigeants, les experts s’accordent à rejeter les postures trop directives, jugées anxiogènes et peu efficaces à long terme.

« En restant dans le registre de la contrainte et de la punition, nous entretenons la vision du salarié comme un maillon faible de la chaîne de sécurité. Or, tout l’enjeu de la sensibilisation est d’en faire le maillon fort ! », confirme Franck Gicquel.

Théorie sans pratique n’est que ruine de budget formation

Pour arriver à ce résultat, présentations PowerPoint annuelles et « cyberwashing » sont à proscrire. L’enjeu est d’inscrire les bonnes pratiques de cybersécurité dans le quotidien de façon positive. Voici quelques conseils à garder à l’esprit pour y parvenir.

Décloisonner

« Répéter sans lasser », tel est l’objectif selon Franck Gicquel. Pour cela, il conseille de faire porter les messages de sensibilisation par la DSI, mais également par d’autres fonctions dans l’entreprise (directions métier, RH et d’autres). Le baromètre Stormshield/L’Usine Digitale 2019 indique par exemple que trois acteurs différents en moyenne sont à l’initiative d’un projet numérique au sein de l’entreprise. Une répartition de l’effort de sensibilisation apparaît donc réaliste. « Cela démontre que c’est le sujet de tous et cela permet de varier le ton, les approches, les exemples, pour instaurer une vraie culture cyber ».

Créer des relais

Et pour aller au plus près des collaborateurs, pourquoi ne pas identifier des référents au sein des équipes opérationnelles ? Par département ou bien par équipe, ces référents « sécurité » auraient un rôle d'animateur (davantage que d'experts) afin de s'assurer que les messages et les directives cyber soient connus et compris par tous les collaborateurs.

S’adapter au public visé

Pour intéresser les publics d’une grande entreprise, d’une PME ou encore d’une école au sujet, il ne faut pas hésiter à s’appuyer sur des exemples métier précis ou rapprocher les enjeux de ceux rencontrés à titre personnel.


Une campagne décalée face aux risques cyber, signée l’EPITA

Dédramatiser

La technique dite du « croissantage » ou « chocoBLAST » incarne bien cette philosophie : depuis un poste laissé sans surveillance, un collègue attentif et bienveillant envoie un e-mail à tous pour indiquer que son propriétaire apportera le petit-déjeuner le lendemain. Un moyen simple et rapide d’introduire de premières notions d’hygiène numérique en entreprise.

Mesurer l’efficacité de la sensibilisation

Enfin, il est important de vérifier ce qui a été compris par les collaborateurs sensibilisés. Dans le cas d’Elior et de son opération Hacking Diner (cf ci-dessous), les indicateurs retenus sont les statistiques de consultation du site dédié, le taux de remontée d’informations de sécurité (multiplié par 4 en moins d’un an) ainsi que le taux de succès des attaques subies par l’entreprise.

 

Changement de méthode pour Elior avec le « Hacking Diner »

Le leader français de la restauration collective a déployé fin 2018 une campagne de sensibilisation à la cybersécurité auprès de ses 110 000 salariés, le « Hacking diner ».

Elle a pris la forme d’un film, assorti d’un site dédié basé sur le kit de sensibilisation de Cybermalveillance.gouv.fr. Gérard Leymarie partage sa satisfaction : « avec moins de 50 000 euros, nous avons réussi à augmenter considérablement le niveau de sensibilisation en interne ». « Cela tient à la diversité des formats employés et à l’implication de la direction générale et du RSSI », commente Franck Gicquel. Et cette campagne a été pensée dans la durée : de nouveaux modules viennent s’ajouter régulièrement au site hackingdiner.eliorgroup.net. « Plutôt qu’une opération ponctuelle, nous avons préféré laisser aux gens le temps de s’approprier les bons réflexes grâce à une campagne à épisodes et suivie dans le temps », souligne Gérard Leymarie.

 

Et s’il s’agissait (enfin) des clés d’une sensibilisation réussie ? Une démarche initiée par une DSI communicante, portée en dehors du service IT par tous les services de l’entreprise, illustrée par des pratiques métier ou issues de la vie personnelle…

De plus, ces actions de sensibilisation apparaissent comme une véritable formation. Chaque salarié contribue ainsi à une meilleure cybersécurité de l’organisation.

Partager sur

Et si la responsabilité de chaque collaborateur dans les affaires de vol ou de fuite des données devenait un véritable outil de régulation ? La lutte contre la mauvaise hygiène numérique passera-t-elle bientôt par la sanction ?
Pour retrouver nos différents contenus de décryptage de l’actualité cyber, suivez-nous sur LinkedIn.

À propos de l'auteur

mm
Florian Bonnet
Directeur du Product Management, Stormshield

Avec plus de 25 ans d'expérience en informatique et en Recherche & Développement, Florian a intégré Stormshield en 2018, au poste de Directeur du Management Produit. En première ligne pendant de longues années sur le terrain, il propage cet esprit d'équipe au sein des Product Managers de Stormshield. Et que ce soit avec les équipes ou en dehors du travail, il met en avant ces valeurs fortes alliant effort et plaisir : respect, esprit d'équipe et engagement.