18
LIVRE BLANC Sensibilisation à la sécurité de l’information 2.0 LIVRE BLANC - SENSIBILISATION 2.0 / PAR MATTHIEU BENNASAR, JULIEN BRIGAUD & LÉTITIA COMBES

Sensibilisation à la sécurité de l'information 2.0

Embed Size (px)

DESCRIPTION

Les campagnes de sensibilisation à la sécurité de l’information ont encore très peu d’impact dans les entreprises, et ce à cause de facteurs intrinsèques (manque d'expérience managériale, défaut de créativité...) comme extrinsèques (mauvais positionnement hiérarchique, changement générationnel...). Ce livre blanc se penche sur cette problématique, et donne des clés pour comprendre les principes de gestion du changement.

Citation preview

Page 1: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC

Sensibilisation à la sécuritéde l’information 2.0

LIVRE BLANC - SENSIBILISATION 2.0 / PAR MATTHIEU BENNASAR, JULIEN BRIGAUD & LÉTITIA COMBES

Page 2: Sensibilisation à la sécurité de l'information 2.0
Page 3: Sensibilisation à la sécurité de l'information 2.0

Sensibilisationà la sécuritéde l’information 2.0

Par Matthieu BennasarJulien BrigaudLétitia Combes

Page 4: Sensibilisation à la sécurité de l'information 2.0

PRINCIPE 1 Nous ne sommes pas égaux face auchangementDes groupes d’utilisateurs peuvent être identifiés enfonction de leur attitude et de leur niveau de résis-tance intrinsèque face à un changement.

PRINCIPE 2 Le changement se propage comme unecontagion socialeL’adoption du changement ne se propage pas commeune fonction linéaire des efforts consentis pour le

provoquer, mais plutôt comme une infection virale,à partir d’un seuil, grâce au basculement de groupesde même attitude (Cf. Principe 1).

PRINCIPE 3 La stratégie d’implémentation du changement tiendra avantageusement compte desprincipes 1 et 2Ces principes permettent l’élaboration d’une straté-gie type de gestion du changement et particulière-ment pertinente pour sensibiliser la génération Y.

LA GESTION DU CHANGEMENT : PAS SI SIMPLE…

L’équipe Lexsi a mis en évidence 4 caractéristiques des Y et propose des solutions pour s‘adapter à cette génération.

LA GENERATION Y : DEFINIR UNE TACTIQUE ADAPTEE

L’IDÉE EN BREF

L’IDÉE EN PRATIQUE

Caractéristiques des Y Solutions Conseils pratiques

Des utilisateurs qui ne respectent pas les règles s’ils ne les comprennent pas

Des utilisateurs peu persévérants

Des utilisateurs nomades etconnectés

Convaincre

Communiquer

Faire court

Des solutions pour expliquer, démontrer, donner des exemples

Des supports nombreux et variés : films de sensibilisation dans les salles de pause, séance de chat avec le DSI, texto d’alertes, ateliers sécurité, etc.

Des règles courtes sous forme de quizz ou de teasing

Faire original Des supports inhabituels : twitter, concours,réseaux sociaux, serious games

Penser interactif Des solutions ludiques et flexibles : e-learning,serious games

Des utilisateurs avertis qui pensent tout connaître

Tester les utilisateurs

Des tests grandeur nature

L’échec des campagnes de sensibilisations à lasécurité de l’information menées par les RSSI pro-vient d’une part de facteurs qui leur sont intrin-sèques (manque d’expérience managériale, défautde créativité, incompréhension des principes degestion du changement, difficulté dans l’art decommunication et manque d’évaluation de l’ effi-cacité des campagnes) et d’autre part de facteursextrinsèques (mauvais positionnement hiérar-

chique ou fonctionnel, changement générationnel,émergence de la génération Y).

Ce livre blanc se penche sur deux de ces facteurset donne des clés pour comprendre les principesessentiels de gestion du changement ainsi que lesspécificités de la génération Y afin de définir unestratégie efficace de sensibilisation à la sécuritédes systèmes d’information.

Pour aller à l’essentiel

Page 5: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 2

Les campagnes de sensibilisation à la sécurité dessystèmes d’information atteignent rarement leursobjectifs. La difficulté à sensibiliser à ce sujet estun challenge que la plupart des RSSI peine à rele-ver. Ils se disent démunis face à une démarche quiles dépasse trop souvent. Leur positionnement hié-rarchique ne leur permet que rarement de travaillerau bon niveau d’influence au sein des entreprises.Leur parcours bien souvent technique ne les a doténi de l’expérience managériale ni de la créativiténécessaires au développement de campagnes desensibilisation « accrocheuses ». Les principes de lacommunication en entreprise leur sont largementinconnus1. Ils sont pour la plupart étrangers auxthéories de conduite du changement sur lesquelles

doivent s’appuyer des campagnes réussies.L’émergence des comportements de la génération Yles déstabilise et ils ont du mal à trouver les bonscanaux de communication. Enfin, ils peinent à évaluer l’efficacité des sensibilisations.

Pour important qu’ils soient, tous les facteursd’échecs ne seront pas traités dans ce livre blanc.Nous proposons ici quelques réflexions pour com-prendre deux d’entre eux, ceux que notre expériencerécente nous pointe comme les « facteurs clésd’échec » sur lesquels les RSSI ont la main : lamauvaise compréhension des principes de gestiondu changement et la difficulté à s’adapter aux spécificités de la génération Y.

Les campagnes « classiques » manquent cruelle-ment d’impact. Conçues pour la plupart comme descours sur les principes de la sécurité de l’informa-tion, elles n’atteignent pas leurs cibles. Et pourcause : on a du mal à retenir des messages perçuscomme rébarbatifs, présentés via des moyens éculéspar des orateurs timides qui ne font pas participerleur audience. Les observateurs s’accordent à direqu’après une conférence (le vecteur de sensibilisa-tion le plus courant), 80% de la masse d’informa-tion est oubliée en 2 jours2. A terme, 90% des mes-sages clés sont oubliés… Tout démontre que c’estl’implication de la personne face à l’informationreçue qui est la clé de l’appropriation des messages.Une attitude passive est insuffisante. Au contraire,un comportement actif joue largement sur la capa-cité à garder les informations en mémoire. C’estdonc en impliquant les utilisateurs au travers decampagnes de sensibilisation d’un genre nouveauqu’on peut espérer éveiller durablement lesconsciences à la sécurité de l’information.

Répéter les mêmes messages, en utilisant lesmêmes vecteurs aboutit aux mêmes échecs : tousles progrès faits sur les solutions et processus desécurité peineront toujours à couvrir les risques tantla sécurité est avant tout une question de jugementet de comportement. Comprendre commentconduire un changement durable des consciences

est donc incontournable pour élever le niveau desécurité des entreprises.La part sans cesse croissante de la génération Ydans la population active3 ne fait qu’augmenter ladifficulté à sensibiliser les utilisateurs des systèmesd’information. Les comportements de ces nouveauxutilisateurs nécessitent de repenser en profondeurles principes de sensibilisation actuels. Comprendrela génération Y et ses caractéristiques est unecondition essentielle pour sensibiliser en 2.0.

1. Rien n’est plus près d’une campagne de sensibilisation qu’une campagne de publicité. L’efficacité de la sensibilisation sera grandement augmentée siune agence de communication est associée au projet2. The workplace learner, Rothwell, 20023. La génération Y représentera plus de 40% de la population active en France en 2015 et 75% en 2025 (Benjamin Chaminade, expert de la génération Y,chiffres issu du salon Prospectives recrutement en 2020 et Business and Professional Women’s Foundation (2011))

POURQUOI LES SENSIBILISATIONS A LA SECURITE DES SYSTEMES D’INFORMATION NE PRODUISENT PAS LES EFFETS ESCOMPTES ?

UN CONSTAT SANS APPEL : LES CAMPAGNES « CLASSIQUES » MANQUENT D’IMPACT

10% d’une conférence

20% d’une vidéo

30% d’une démonstration

75% de ce que l’on a pratiqué soi même

90% de ce que l’on enseigne aux autres

50% de ce qui se dit dans un groupe où l’onparticipe

Traduit et adapté par LEXSI sur le modèle du National Training Laboratorie (Bethel)

Passif

Actif

Généralement on retient :

Figure 1 : Impact des vecteurs de formation sur l’appropriation du message

Page 6: Sensibilisation à la sécurité de l'information 2.0

3 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0

Sensibiliser à la sécurité des systèmes d’informationrevient à piloter un changement de culture et d’ha-bitudes. Si les moteurs du changement et l’attitudeface au changement ont été largement théorisés,comprendre trois principes permet d’améliorer radicalement les campagnes de sensibilisation :

� PRINCIPE 1 Nous ne sommes pas égaux face auchangement

� PRINCIPE 2 Le changement se propage commeune contagion sociale

� PRINCIPE 3 La stratégie d’implémentation du changement tiendra avantageusement compte desprincipes P1 et P2…

PRINCIPE 1Nous ne sommes pas égaux face au changement

La population générale peut être répartie en fonc-tion de son attitude et de son niveau de résistanceà un changement. En partant des moins réticents,on trouve :

� Les innovateurs : dynamiques, prêts à prendre desrisques pour innover, ils seront les moteurs duchangement. Ils sont particulièrement faciles àatteindre car ils sont demandeurs d’informations.Cependant, les innovateurs sont souvent peu « connectés » aux autres catégories.

� Les optimistes : ils adhèrent rapidement aux nou-velles idées et sont faciles à convaincre. Ce sontsouvent des leaders d’opinion très « connectés »aux autres groupes, qu’on pourra utiliser avanta-geusement en relais.

� La majorité silencieuse : ils suivent le vent et lespositions des leaders d’opinion. Ils adhèreront auchangement si on les y incite. Mais il ne fautcompter sur eux pour prendre un risque a priori oupour ébruiter les nouvelles : ce sont des suiveursavant tout.

� Les pessimistes : leur vision du changement esttrès négative. Le changement est subi, vécucomme une nécessité imposée par la pression

sociale. Ils avanceront à reculons, quand ilsdeviendront isolés dans leurs positions.

� Les résistants : ils rejettent fortement le change-ment et se battront pour l’éviter. Souvent suspi-cieux, le changement représente une menace poureux. On ne s’adresse jamais aux résistants. Ilsfinissent par rejoindre ou sont réduits au silencepar leur marginalisation.

Le graphique ci-dessous représente la répartitiongénéralement admise de ces différents groupes dansune population.

40%

35%

30%

25%

20%

15%

10%

5%

0%

Attitudes face aux changementsDi

stri

butio

n de

fréq

uenc

e de

la p

opul

atio

n

Innovateurs Optimistes Majoritésilencieuse

Pessimistes Résistants

Figure 2 : Distribution des attitudes face au change-ment

LA GESTION DU CHANGEMENT : PAS SI SIMPLE…

Savoir tirer profit de l’existence de ces différentes catégories et de leurs interactions devient un atout majeur pour définir une stratégie de sensibilisation.

Page 7: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 4

PRINCIPE 2Le changement se propage comme une contagionsociale

La logique voudrait que l’adoption d’un change-ment par la population concernée soit proportion-nelle à l’effort et au temps employés. Il n’en estrien. Sous peine de se décourager, il est importantde comprendre que le changement se propagecomme une contagion sociale, c’est-à-dire, trèspeu, jusqu’à un seuil épidémique à partir duqueltout bascule. Les études académiques sur le sujetmodélisent la contagion sociale selon une courbedonnée ci-dessous.

Dans un premier temps, les efforts mis en œuvrene semblent pas porter leurs fruits. La courbed’adoption effective ne rejoint la courbe attenduequ’après des efforts et un temps certain. Une ana-lyse trop précoce des résultats peut aboutir à desdécisions désastreuses, comme stopper une cam-pagne en t1. Une fois le phénomène d’adoptiondu changement enclenché (>t1), la majorité de lapopulation bascule, entrainant rapidement avecelle la minorité, dans un effet de domino : c’est lacontagion sociale. Les informations et idées sepropagent comme des infections virales à traversles réseaux de personnes. Le basculement des groupes de même attitude(Cf. Principe 1) face au changement participe àcréer cette courbe en S.

PRINCIPE 3La strategie d’implementation du changement tiendra avantageusement compte des principes 1et 2

En se basant sur les deux principes précédents, ilest possible de définir une stratégie typique d’im-plémentation du changement, résumée dans le gra-phique ci-dessous : d’abord les « champions », puisla masse précoce pour ensuite entrainer la majoritésilencieuse.

Quel lien peut-on établir avec le Principe 1 ? Le dia-gramme ci-dessous illustre les relations entre lesdifférentes catégories de réaction au changement.

Zone decontagion

100%

Populationayant adoptéle changement Courbe

attendueCourbe

effective

Temps et effort

t1 t2

Figure 3 : La courbe en S de la contagion sociale

Figure 4 : Stratégie gagnante de mise en œuvre duchangement

Figure 5 : Relations entre les catégories du principe 1 et ceux du principe 3

Innovateurs

Optimistes

Majoritésilencieuse

Pessimistes

Résistants

Champions

Majorité

précose

Majorité

silencieuse

Résistants

Résistants

Pouvoir d’influence

Résistance

Champions

Masse silencieuse

Masse précose

Fort

Forte

Faible

Faible

Page 8: Sensibilisation à la sécurité de l'information 2.0

5 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0

Commencer par convaincre les plus enclins auchangement permet d’acquérir du soutien dans lapopulation. Il est pertinent de viser dans un premiertemps les personnes les plus influentes. Dans cettecatégorie, on distingue souvent les connecteurs etles experts. Les connecteurs ont un grand réseau deconnaissances et ont la capacité de faire passer desinformations. Les experts quant à eux accumulentles connaissances et apprécient de rendre service eninformant les gens.

Fort de l’aide de cette première partie de la popula-tion, on peut ensuite convaincre tous ceux dont leniveau de résistance est faible mais dont l’influenceest limitée (certains innovateurs et optimistes et unepartie de la majorité silencieuse). C’est la majoritéprécoce.

La résistance de la masse silencieuse est beaucoupplus forte mais cette population est, par nature,influençable. On s’appuiera alors sur le principe 2,de contagion sociale, pour faire basculer la massesilencieuse.

Le combat est gagné, même sans faire face auxrésistants. Convaincus du danger du changement etdisposant d’une forte capacité de nuisance, ils pour-raient autrement influencer négativement la popula-tion et faire échouer vos efforts. Ils rejoindront peut-être d’eux-mêmes les autres ou se retrouveront inoffensifs car isolés.

Cette théorie, valable pour tout changement, estparticulièrement pertinente pour sensibiliser lagénération Y. La suite de ce Livre Blanc se concen-tre sur cette génération.

De plus en plus présente dans la population active,la génération Y est née avec la troisième révolutionindustrielle, avec les nouvelles technologies etInternet. Globalement, ce sont les personnes néesentre de la fin des années 1970 et les années 1995.Les Y représentent environ 13 millions de françaisaujourd’hui. En plus de leurs connaissances techniques, les Y ont une vision du monde et un raisonnement bien différents des générations précédentes. Ces mots vous ressemblent-ils ?

D’ici 2015, la génération Y représentera plus de40% de la population active en France4. En utili-sateurs avertis des technologies de l’information,ils bousculent les modes d’utilisation du SI del’entreprise, entrainant l’émergence de risquesnouveaux liés, par exemple, à leur forte autonomieou leur façon de traiter les problématiques deconfidentialité.

D’après : Benjamin Chaminade

MIEUX COMPRENDRE LA GENERATION Y

Connecté

Indépendant

Mobile Rapidement ennuyé

Engagement citoyen

Gratification immédiate

IMPATIENTMAINTENANT, PAS DANS 5 MIN

INFORMATION INSTANTANÉE

Adaptable

4. Projection de population active, INSEE

Pourquoi Y ?

Y pour la forme que font les fils des écouteurs des baladeurs qu’ils ont été

les premiers à utiliser.

Y tout simplement pour succéder à la génération X.

Y pour la prononciation en anglais de « Why » qui signifie pourquoi.

les Y sont bien connus pour s’interrogersans cesse sur la raison d’être des choses.

ALORS VOUS ÊTES SANS DOUTE UN Y !

Page 9: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 6

Selon une étude de Cisco5, 70% des jeunesemployés sondés ont admis ne pas respecter lespolitiques de sécurité informatique d’une manièreou d’une autre. Pour autant, ils admettent bien être au courant de leur existence. Ce chiffre est ennette augmentation par rapport aux générations précédentes.

Mais, les Y veulent comprendre les règles avant deles respecter. S’ils ne comprennent pas, ils vonts’opposer et essayer de contourner… Ce sera unefaille supplémentaire dans la sécurité. Bien que difficile à influencer, cette façon de penser contraintles RSSI à faire preuve de pédagogie et à placer lecurseur au bon endroit : trop de règles mal expli-quées et les Y vont s’opposer ; pas assez de règleset l’organisation ne sera pas assez sécurisée…

Alors que la persévérance était l’apanage de la géné-ration X, la génération Y est souvent critiquée pourson manque d’obstination et d’assiduité6.On parlesouvent de la génération Y comme peu fidèle à sonentreprise et ayant tendance à partir au moindreproblème. Les Y passent facilement d’un sujet àl’autre, ont du mal à se concentrer, arrivent rapide-ment à saturation... Il est donc bien difficile de leurtransmettre des messages. Et qu’il est difficile deconvaincre ces impatients de travailler sur dessujets de fonds tels que la sécurité des systèmesd’information !

Nés avec internet et les technologies de l’informa-tion, les Y sont des utilisateurs « connectés » rom-pus au nomadisme, férus de BYOD (Bring Your OwnDevice), toujours premiers sur les blogs et les chats.D’ailleurs, ils n’ont jamais rien connu d’autre.Pourquoi les Y devraient-ils respecter une procédurepour se connecter à leur courriel professionneldepuis chez eux quand ils peuvent toujours seconnecter d’où ils veulent ? Pourquoi ne pourraient-ils pas accéder à une information confidentielledepuis l’aéroport ou la gare ? C’est tellement pra-tique…. La génération Y raisonne différemment desgénérations précédentes.

En cas de problème informatique, les collaborateursX appellent la DSI au secours. La logique des Y estdifférente… Tous ont des connaissances en techno-logie et à la première question, ils cherchent la solu-tion sur un forum : pas la peine d’appeler le supportinformatique.

Cette nouvelle génération maîtrise plus les sujetstechnologiques que la précédente. Inévitablement,elle a l’impression de maîtriser le SI et ne se donnepas la peine de lire les recommandations de sécu-rité… Mais en même temps que les utilisateurs ontchangé, les menaces se sont également adaptées etles vulnérabilités se sont multipliées. Ainsi, même sil’arrivée de nouveaux utilisateurs change la donne,elle ne diminue pas les risques, bien au contraire.

DES UTILISATEURS QUI NE RESPECTENT PAS LES REGLESS’ILS NE LES COMPRENNENT PAS

DES UTILISATEURS NOMADES ET CONNECTES

DES UTILISATEURS AVERTIS

DES UTILISATEURS PEU PERSEVERANTS

5. Connected World Technology Report, 20126. Le zapping comportemental est souvent évoqué à propos de la génération Y.

Page 10: Sensibilisation à la sécurité de l'information 2.0

7 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0

Adaptation et Pédagogie sont les clés ! Finis lescourriels détaillant les règles de sécurité, terminéesles sensibilisations par la lecture de fiches de « bonnes pratiques » : il est essentiel d’expliquer, dedémontrer, de donner des exemples… Utiliser lesfailles de sécurité d’autres entreprises qui ont faitl’actualité7 permet de prouver aux utilisateurs qu’au-cune entreprise n’est à l’abri.

La soif de connaissance des Y est une opportunitépour communiquer encore et encore. Les Y veulentsavoir. Ils sont habitués à recevoir des informationsen permanence avec les médias, les réseauxsociaux, et l’Internet. La pédagogie, c’est l’art derépéter les choses dit l’adage. Films de sensibilisa-tion sur les écrans des salles de pause, newsletterde la sécurité, séance de chat avec le DSI, textod’alertes sur les téléphones professionnels, atelierssécurité, etc. C’est en inondant les Y d’informationsqu’ils prendront conscience que la sécurité est unepréoccupation essentielle de leur entreprise, que lesproblèmes n’arrivent pas que chez les autres etqu’ils sont concernés pour limiter les risques.

La génération Y aime se sentir impliquée, être aucœur de l’action. L’entreprise et ses responsables dela sécurité sont là pour leur prouver qu’ils sont lesacteurs de la protection de l’entreprise et que sansleur soutien l’entreprise est vulnérable. Il est bon deles convaincre par l’exemple. Areva en 2011 s’estdécouvert victime d’un piratage de plus de deux ans :certaines sources disent que les hackers auraientprofité des mots de passe trop faibles des utilisa-teurs. La sécurité d’une entreprise dépend bien dechacun de ses employés.

Tout d’abord, il s’agit de faire simple et court. Lesutilisateurs 2.0 ont tendance à passer d’un sujet àl’autre facilement. Il faut les accrocher et aller rapi-dement à l’essentiel pendant les quelques minutesde concentration qu’ils accorderont au sujet.

Ensuite, la clé du succès est de surprendre et d’in-triguer les interlocuteurs. Il est essentiel de fairepreuve d’originalité : tweet, intranet, réseauxsociaux, serious games, concours, etc. Tous lesmédias actuels et futurs sont efficaces pour les tou-cher. Pourquoi ne pas twitter des messages ?L’utilisation de l’intranet peut permettre de faireapparaitre chaque jour un message ultra court : unerègle directe ou sous forme de quizz ou de teasingmenant les utilisateurs vers une page spécifique.

Un utilisateur X retient beaucoup mieux s’il parti-cipe. Un utilisateur Y ne retient que s’il participe…Les outils d’e-learning et de serious games ont faitd’énormes progrès. Pour une génération née avec lesjeux vidéo, participer à un serious game afin demieux comprendre la sécurité est bien plus facile.Ils ont l’habitude de ce type de support. Apprendreen s’amusant est un des moyens de les toucherdirectement et de les faire s’intéresser à la sécurité.Afin de s’assurer que les utilisateurs s’impliquent etparticipent, la meilleure solution est de chercher às’adapter à eux en innovant et en leur proposantd’évoluer sur un terrain qu’ils maitrisent. Quelquesoffres commerciales existent d’ailleurs déjà.

COMMENT S’ADAPTER AUX Y ?

UNE NOUVELLE TACTIQUE

Des utilisateurs qui ne respectent pas les règles s’ils

ne les comprennent pas

Convaincre, communiquer et impliquer

Des utilisateurs peu persévérants

Faire court et original

Des utilisateurs nomades et connectés

Penser interactif

7. Phishing chez EDF, déboires de Sony et Renault, attaques d’Anonymous, etc.

Page 11: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 8

Enfin, les utilisateurs à qui s’adressent ces cam-pagnes de sensibilisation sont des utilisateursconnectés et nomades : travailler de chez eux oudepuis le train est tout à fait normal pour eux. Leurproposer des conseils sur l’attitude à avoir à la mai-son ou dans les lieux publics est essentiel pourrépondre à leurs attentes.

Les Y se moquent de la sécurité, prétextant qu’ilsconnaissent déjà ses enjeux et risques : pourquoi nepas les tester ? Un quizz risque de ne pas être suffisant : les Y connaissent suffisamment les tech-nologies de l’information pour répondre correcte-ment au quizz sans pour autant respecter les poli-tiques de sécurité au quotidien. Il faut aller plus loinen les testant en grandeur nature, pour mettre enévidence leurs limites et remettre en cause leurconfiance en eux. Par exemple, préparer un fauxmail de phishing8 demandant à l’utilisateur desinformations qui seront récoltées sur un site dédiéest une idée de test grandeur nature. Peu de tempsaprès l’envoi du mail, une liste d’utilisateurs tombésdans le piège pourra être obtenue. Les statistiquesde réponse suffiront certainement à montrer aux col-laborateurs Y quelques déficiences. Attention cependant, ce type d’attaques « internes »ne doit surtout pas être utilisé comme prétexte àsanction. S’ils doivent apprendre à se méfier desattaques externes, les Y doivent savoir que la DSIest de leur côté et qu’ils n’ont rien à craindre d’elle.

Le tableau ci-après décrit un certain nombre de vec-teurs de sensibilisation. Ces vecteurs sont-ils effi-caces vis-à-vis de la génération Y ? Pourquoi ?

Ce tableau n’est pas une liste exhaustive des vec-teurs de sensibilisation, mais synthétise plutôt lesgrandes pratiques actuelles.

LES VECTEURS DE SENSIBILISATION

Des utilisateurs avertis qui pensent tout connaître ?

Les tester !

8. Le phishing ou hameçonnage est une technique utilisée par les fraudeurs pour obtenir des renseignements personnels en faisant croire à la victimequ’elle s’adresse à un tiers de confiance

Page 12: Sensibilisation à la sécurité de l'information 2.0

9 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0

1 Utiliser le TopManagement

Rencontrer le top management et lesensibiliser en direct sur l’importancede la sécurité.

Demander leur appui direct (communications à leur n-1 puis n-2,etc.) et indirect (afin de pouvoir s’appuyer sur leur volonté dans vos prochaines communications)

+ Permet d’obtenir les soutiens les plusforts de la société+ Permet de montrer que la sécuritéest un challenge auquel l’entrepriseentière va se confronter : les Y aimentles challenges !

- C’est utile si c’est une ligne au basd’un message « approuvé par la direc-tion générale », mais ça marche bienmieux s’il y a une réelle implication dutop management !

Type Détail Avantages / Inconvénients Génération Y

2 Mails Communiquer les règles générales desécurité par mail de manière régulièreou ponctuelle.

Les mails peuvent être dirigés vers certaines catégories ou à l’ensembledes collaborateurs

+ Permet de toucher tous les collaborateurs d’un coup par un message uniforme

- N’a que peu d’impact- Rarement lu en détail- Peut être considéré comme du spam

3 E-learning Lancer une campagne via un site dédiépermettant à chaque cible de suivre un parcours personnalisé.Le e-learning peut être associé au goo-dies pour augmenter la participation.

+ Permet de toucher l’ensemble descollaborateurs de manière personnali-sée et interactive (proactivité)+ Permet un suivi fort+ Flexible et adaptable aux disponibili-tés de chacun : les Y aiment faire cequ’ils veulent quand ils veulent !

- Utilisé seul, ce média souffre souventd’un manque de participation

4 Serious Games Lancer une campagne via un site dédiépermettant à chaque cible de participerà un jeu en ligne individuellement ouen groupe. Le parcours proposé par lejeu permet à l’utilisateur de prendreconscience des problématiques, de se poser les bonnes questions etd’apprendre sur un sujet de sécurité.

+ Permet de toucher l’ensemble descollaborateurs de manière personnali-sée et permet un suivi fort+ Motivant, original et interactif+ Apprentissage par l’expérience(proactivité)

- Certains managers le considèrentcomme une perte de temps- Investissement important

5 Utiliser le réseau informel

Rencontrer le middle management et communiquer sur l’importance de la sécurité et sur les grandes règles(notamment lors d’éventuels séminaires). Demander leur appuidirect sur leurs équipes

+ Permet d’obtenir des relais de l’information+ Dynamise la communication+ Les Y apprécient l’échange grâce auxréseaux

- Peut être à double tranchant si le middle management n’est pasentièrement convaincu…

6 Réseaux sociauxd’entreprises

Communiquer via les éventuels réseauxsociaux d’entreprises. Innover ou utiliser les canaux de communication innovants pour toucherplus facilement les plus jeunes

+ Permet de toucher directement les Y+ Permet l’envoie d’un message courtet percutant

- Peut manquer de formalisme pour dessujets sensibles- Complexité de mise en œuvre desréseaux sociaux d’entreprises

7 Affichage Diffuser une campagne d’affiche permettant de créer une image visuellede la sécurité

+ Facilite les communications futures+ Facile à mettre en œuvre

- Impact limité : les Y sont submergésd’image, de vidéos, etc.

Page 13: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 10

8 Conférence Mettre en place des conférences permettant de mettre en avant les problématiques de sécuritéDe manière plus générale, ces évène-ments peuvent être mis en place pourcréer le buzz autour de la sécurité.

+ Sensibilise les « innovateurs » quipourront relayer vos messages

- Ne permet de toucher qu’un périmètre très restreint : la conférencedoit cibler un segment très particulierpour avoir de l’impact

9 Newsletter Communiquer les règles générales desécurité par les newsletters (généralesou dédiées à la sécurité ou à l’IT) demanière régulière ou ponctuelle.

+ Permet de toucher tous les collaborateurs d’un coup

- Peu lu donc peu d’impact (passivité)- Peu motivant pour les Y- Peu interactif

Type Détail Avantages / Inconvénients Génération Y

10 Goodies Adopter une approche physique de la newsletter en utilisant des supportsdifférents (flyers, goodies divers, etc.)comportant des messages courts et percutants.

+ Permet la création d’un visuel associé à la sécurité + Permet l’adoption indirecte du message+ Message mobile (suivant le goodies(stylo), l’employé peut avoir le messageen permanence avec lui)

- Message transmis assez court, doitêtre utilisé avec d’autres vecteurs

11 Site Intranet/Extranet

Communiquer les règles générales de sécurité par l’intranet du groupe ou l’intranet dédié à l’IT (voire à lasécurité SI) de manière régulière ou ponctuelle.

+ Permet de toucher tous les collabora-teurs d’un coup+ Permet de mettre en un même endroittoutes les informations liées à la sécurité

- Peu motivant et interactif- Messages souvent noyés dans lamasse d’informations : impact limité

12 Sensibilisation en ateliers

Organiser des sessions de formationsen ateliers avec des groupes d’utilisa-teurs restreints. Ces sessions peuventavoir des formes diverses.

+ Transmet des messages marquants+ Impact important sur le quotidien+ Très interactif

- Très chronophage- Complexe à organiser

13 One to One(Coaching)

Organiser de séances de coaching avecdes utilisateurs clés pour lesquelsl’usage de la sécurité est critique.

+ Suivi personnalisé+ Forte assurance de résultats+ Transfert d’information de personnes coachées à tous leurs collaborateurs.

- Très chronophage

14 Test des utilisateurs

Mettre en place des systèmes de testdes utilisateurs et communiquer abondamment sur le sujet (faux mailsde phishing, etc.).

+ Sensibilisation choc par remise en question+ Impact majeur sur le quotidien

- Peut être mal interprété par certainsutilisateurs (les résultats des tests doi-vent être rendus avec soin)

15 Vidéos / teasers Réaliser des vidéos de sensibilisation et les mettre à disposition sur YouTubepar exemple. Ces vidéos peuvent aussiêtre projetées dans les salles de pause, àl’entrée du restaurant d’entreprise, etc.Les références, l’humour, la dérision sontde bons outils pour toucher durablement le public Y.

+ Mémorable+ Permet de toucher un grand public

- Manque d’impact si la visualisationn’est pas régulière

Page 14: Sensibilisation à la sécurité de l'information 2.0

11 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0

Ces vecteurs sont-ils réellement utilisés par lesentreprises d’aujourd’hui ? Très peu en fait. Maisquelques exemples originaux montrent une amorcede virage en la matière.

Exemple 1 : Un grand laboratoire pharmaceutique atravaillé avec Lexsi pour tester ses utilisateurs surleur niveau de sensibilisation à la sécurité : unefausse stratégie de phishing a été déployée pendantla période de grippe aviaire. Grâce aux résultats, laDSI a beaucoup appris sur ses utilisateurs et ceux-ci ont beaucoup appris de leurs erreurs. Récupérerun PC non attaché sur un bureau ou donner un gageà ceux qui ne verrouillent pas leurs sessions infor-matiques : voilà quelques pratiques qui ont eu uneffet similaire.

Exemple 2 : Le Groupement des Cartes Bancaires apréféré l’utilisation d’un serious game. Le départe-ment de sécurité des systèmes d’information se dittrès satisfait des résultats du déploiement de cettepremière campagne.

Exemple 3 : Une société du secteur tertiaire utiliseune tout autre façon de faire : certains messages desécurité sont présentés aux employés sous forme desaynètes : les équipes inventent ces courtes comé-dies sur divers thèmes de la sécurité et les interprè-tent à leurs collègues d’agence, déployant leurstalents d’acteurs.

Exemple 4 : Lexsi a conseillé un autre laboratoirepharmaceutique pour créer des teasers vidéo origi-naux. Des messages courts et des prises de positionfortes de la direction générale y figuraient pouréveiller l’intérêt des employés en préparation auxateliers de sensibilisation. La participation aux ate-liers a dépassé les attentes.

Exemple 5 : Lexsi a accompagné un groupe de lagrande distribution par le biais du benchmarkingpour sensibiliser son middle management. C’est ense comparant à ses concurrents que cette popula-tion, compétitive par nature, a adopté de meilleurespratiques de gestion de l’information.

Exemple 6 : Un grand groupe de l’industrie a choisiLexsi pour sa stratégie de sensibilisation du comitéde direction. Lexsi a proposé une démarche en 3temps. � Premièrement, après une recherche ciblée,chaque membre du comité a reçu un dossier d’ex-position personnelle sur Internet : y étaient pré-sentées les informations publiques récupérables

sur Internet sur sa personne ainsi qu’une descrip-tion des stratégies d’attaque qu’un hacker pourraitmettre en œuvre contre lui.

� Deuxièmement, lors d’un séjour groupé du comitéà l’hôtel, un pentester Lexsi a collecté les informa-tions récupérables par une plateforme simple dehacking (informations obtenues par l’accès wifi,enregistrement des conversations téléphoniques,etc.). Les résultats présentés ont, une deuxièmefois, marqué les esprits.

� Troisièmement, une lettre « piégée » contenantune clé USB a été envoyée à chacun, pour testerleur méfiance et marteler le message de sensibili-sation. En cas connexion de la clé, un message desensibilisation apparaissait. La sensibilisation aété une réussite

Exemple d’entreprise Exemple de vecteurs utilisésLaboratoire Simulation de phishingpharmaceutiqueSecteur tertiaire SaynètesGroupement des cartes Serious gamebancairesLaboratoire Teasers vidéo et atelierspharmaceutiqueGroupe industriel � Dossier d’exposition mondial personnelle et stratégies

d’attaque� Résultat « d’écoute »� Lettre « piégée »

Grande distribution Benchmarking

Page 15: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 12

Aucune stratégie de sensibilisation ne devrait uniquement passer par un seul de ces canaux.Une stratégie efficace vise à choisir des canauxprincipaux et secondaires en fonction des phasesde la stratégie. Ce n’est pas parce que les Y n’ap-précient pas un support de sensibilisation qu’il nedoit pas être utilisé ou qu’il n’est pas pertinentdans certaines circonstances.

La stratégie de sensibilisation doit par ailleurss’inscrire dans le temps. Même si le support desensibilisation est parfaitement adapté au public,les sensibilisations « coup de poing » sont justecela : un coup marqué dans un temps donné quinécessite, pour être efficace, d’être prolongé parune stratégie à moyen et long termes

LIEN ENTRE STRATEGIE ET VECTEURS : LA TACTIQUE DE SENSIBILISATION

La tactique de sensibilisation doit être construite dans la durée autour d’une

combinaison de vecteurs.

RSE

Mails Mails

RSE

RSE

Newsletter

Newsletter

Testutilisateurs

Testutilisateurs

E-learning

Atelier

Seriousgames

Affichage Intranet

Intranet Conférence

Coaching

TopManagement

Réseauinformel

Réseauinformel

TopManagement

Résistants

Fort

Légende :Niveau de pertinence d’un vecteur

Forte

Faible

Faible

Masse silencieuse

Pouvoir d’influence

Résistance

Champions Masse précoce

Le graphique suivant met en relation la stratégie de changement et la pertinence d’utilisation de ces vecteurspour optimiser les efforts selon une tactique type. Il met en relation le tableau 1 et la figure 4.

E-learningCoaching

Vidéo Goodies

Page 16: Sensibilisation à la sécurité de l'information 2.0

13 LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0

� Chaminade, B. (2012) La génération Y,[10/01/2013]

� Cisco (2012) Connected World TechnologyReport

� Galunic, C., (2012) Leading Change, INSEAD

� Gladwell, M., (2000) The tipping point, Howlittle things can make a big difference

� Quester, C. (2010) Les « serious games » auservice de la formation à la sécurité, AgefiHedbo

� Rothwell, (2002) The workplace learner

� Slate.fr (2011) Piratage d’Areva: des hackerscomplotistes ou des espions industriels ?[10/01/2013]

� 01Informatique, Business & Technologies,(2011) Génération Y, Comment ils font bougerles lignes ?

Les risques qui pèsent sur les systèmes d’informa-tion des entreprises ne diminuent pas… Le poids dujugement humain dans la sécurité de l’entreprisenon plus. Dans notre expérience, seule une sensibi-lisation efficiente permet de couvrir le facteurhumain. La sensibilisation 2.0 demande de remet-tre en question les méthodes de sensibilisationactuelles, pour assurer que les comportementschangent durablement. L’évolution de la maturitédes utilisateurs nécessite des approches nouvelles.Il faut garantir l’interactivité de la pédagogie et trou-ver des vecteurs empreints d’originalité pour capterl’attention. Le soutien du management, s’il étaitsouhaitable hier est devenu indispensableaujourd’hui. Comprendre la cible permet d’ajusterles efforts pour viser juste. Appréhender les prin-cipes qui permettent un changement véritable éviteles déconvenues.Dans certaines entreprises, ce sont déjà les Y quiprennent en charge la sensibilisation à la sécurité.C’est le cas d’une grande banque française dans

laquelle une Y soutient les différents départementspour implémenter la « ludo-pédagogie ». Elle inciteet aide les métiers à définir leur campagne en inté-grant l’e-learning et les serious games aux tech-niques habituelles.S’il faut faire face aux changements induitsaujourd’hui par la génération Y, il est sûr que denouveaux défis nous attendent demain avec lesgénérations Z, AA, AB, etc. Certaines des basesexposées dans ce livre blanc seront remises encause. Il faudra renouveler la réflexion et compren-dre les nouvelles cibles. Cette remise en questionsera l’occasion de stimuler la réflexion pour amélio-rer la sécurité dans l’entreprise. Mais les principesde gestion du changement demeureront. Ce livreblanc a été conçu pour apporter des réponsesciblées aux entreprises qui cherchent à s’adapter àla génération Y et, plus largement, pour offrir uncadre de raisonnement pour s’adapter à toutes lesgénérations futures.

BIBLIOGRAPHIE

CONCLUSION

Page 17: Sensibilisation à la sécurité de l'information 2.0

LIVRE BLANC - SENSIBILISATION À LA SÉCURITÉ DE L’INFORMATION 2.0 14

Matthieu BENNASAR dirige le pôle Conseil de LEXSI à Lyon. Consultant en résilience d’entreprise, managementdes risques et sécurité de l’information depuis 14 ans, il a accompagné des clients de tous secteurs et toutestailles dans la définition de leur stratégie de sensibilisation à la sécurité de l’information. Il est l’auteur de deuxouvrages de référence : « Plan de Continuité d’Activité et Système d’Information » (2006 et 2010, prix AFISI2006), et « Manager la Sécurité du SI » (2007) tous deux publiés chez Dunod. Matthieu est diplômé de l’EcoleCentrale de Nantes et ancien élève de l’INSEAD. Il enseigne dans différents Masters et a obtenu les certifica-tions MBCI et CISM.

Julien BRIGAUD est consultant en sécurité de l’information et continuité d’activité chez LEXSI. Depuis 6 ans, ilaccompagne ses clients pour le management de leur sécurité. Il a notamment participé à la réorganisation dela filière sécurité de plusieurs grands comptes (groupes bancaires, industriels et du secteur des services) et, ainsi,défini leurs stratégies de sensibilisation qu’il a pu accompagner dans la durée. Julien est diplômé de TelecomEM et certifié ITIL.

Létitia COMBES est consultante en sécurité de l’information et en continuité d’activité chez LEXSI. Elle a récem-ment mené une mission de sensibilisation de la génération Y à la sécurité de l’information pour un laboratoirepharmaceutique. Létitia est diplômée de l’Ecole Centrale de Nantes et possède un Master en Management del’Imperial College of London.

En savoir plus : mbennasar[at]lexsi.com

LES AUTEURS

Créé en 1999, LEXSI est un cabinet de conseil indépendant français spécialisé en sécurité informatique etgestion des risques. Axant sa stratégie sur l’innovation, sa singularité réside dans une alliance unique de tech-nologies, de méthodes et de talents, pour préserver les intérêts de ses clients. Cabinet leader sur son marché,LEXSI est implanté à Paris, Lyon, Lille, Singapour et Montréal (Canada) et délivre ses prestations aussi bienen France qu’à l’international.Avec 150 experts à la pointe du secteur de la sécurité informatique, LEXSI intervient à travers 4 pôles de compétences :• Cybercrime : Veille technologique & lutte contre la fraude• Conseil : Conseil en sécurité de l’information et gestion des risques• Audit : Audit des systèmes d’information• Université LEXSI : Formation SSI : Hacking, SMSI, sensibilisation, PCA

LEXSI dispose d’un pôle de compétence Management de la Sécurité et Gestion des Risques qui contribue à l’atteinte des objectifs de création de valeur et de protection des entreprises. Nos missions de stratégie de gouvernance de la sécurité incluent : accompagnement des RSSI, gestion des risques, SMSI, tableaux de bord sécurité ….

QUELQUES MOTS SUR LEXSI

Page 18: Sensibilisation à la sécurité de l'information 2.0

www.lexsi.com

www.lexsi.fr

SIEGE SOCIAL :Tours Mercuriales Ponant40 rue Jean Jaurès93170 Bagnolet

TÉL. (+33) 01 55 86 88 88FAX. (+33) 01 55 86 88 89

LEXSI - INNOVATIVE SECURITYPARIS, LYON, LILLE, MONTREAL, SINGAPOUR