Comment réussir votre sensibilisation

Comment réussir votre sensibilisation à la Sécurité des Systèmes d’Information ?

5 facteurs clés de succès - Épisode 1

Accompagnement RSSI et Management de transition

Épisode 1 : Adaptation et contextualisation de vos sensibilisations

Améliorer les indicateurs sécurité, répondre à un contrôle permanent, passage obligé pour conserver ses droits informatiques, toutes les raisons sont bonnes pour mettre en place une sensibilisation SSI ! 

Mais le corpus de règles, l’appréhension de l’IT, la mystification de la cybersécurité, et le caractère obligatoire de la sensibilisation SSI peuvent faire freiner des 4 fers les apprenants ! 

Ils ont ainsi développé des stratagèmes pour pallier leur manque d’intérêt: consolider les réponses justes de l’e-learning sécurité pour les donner aux autres collaborateurs, se servir des deux heures de sensibilisation SSI pour dépiler des mails non lus, … 

Face à cela, et dans l’espoir de regagner leur intérêt, les équipes sécurité se sont tournées vers des formes de sensibilisation plus ludiques : c’est l’heure de gloire des serious game, escape game et autres formes de sensibilisations évènementielles! Souvent onéreuses, celles-ci ne sont pas à la portée de toute entreprise… Alors que faire? 

Chez Allistic, nous sommes convaincus que vous pouvez faire la différence sans faire le jeu des learnings game ! Etes-vous prêts à réussir vos sensibilisations SSI ? 

Pour que l’apprenant puisse s’identifier dans les différentes actions de sensibilisation, et être plus perméable à leur contenu, celui-ci doit être adapté à la population cible d’apprenants et contextualisé par rapport aux problématiques, enjeux et process de l’entreprise

Etre en capacité d’adapter le contenu d’une action de sensibilisation aux apprenants suppose plusieurs éléments :  

  • La formalisation d’un plan de sensibilisation détaillant les cibles d’apprenants ; 
  • Connaître les enjeux et les besoins métiers des apprenants ;
  • Connaître les problématiques de sécurité auxquelles les apprenants sont le plus confrontés.
    Exemple: des collaborateurs des Ressources Humaines sont plus exposés aux pièces-jointes vérolées que d’autres directions ! 
  • Identifier quel est le niveau de leurs interactions avec les équipes SSI :
    • Ont-ils souvent affaire aux équipes SSI dans leur gestion de projet?
    • Ont-ils l’habitude de solliciter les équipes SSI lorsqu’il y a des enjeux sécurité ?
    • Ont-ils identifié clairement quels sont les membres et les fonctions de l’équipe SSI ? 
  • Collecter les indicateurs sécurité du métier ou de la direction concernée afin d’identifier quelles sont les pratiques qui restent à acquérir pour les apprenants ;
  • Formaliser des contenus dédiés aux différentes cibles d’apprenants.  

Lorsque la cible d’apprenants n’est pas clairement définie, comme lors d’une sensibilisation “nouveaux arrivants” au sein d’une entreprise, l’adaptation reste possible, à condition de connaître les participants et leurs fonctions en faisant un tour de table !

« L’avis de la rédaction » : recourir à des sensibilisations en présentiel pour des actions “grand public” permet une plus grande flexibilité dans l’adaptation des contenus aux participants.

La contextualisation du contenu peut s’opérer sur la base de plusieurs éléments :

  • L’organisation du travail: les collaborateurs sont-ils susceptibles de faire des déplacements ? La culture de l’entreprise favorise-t-elle le télétravail et dans quelles circonstances (exceptionnelles / régulières ) ?
  • L’équipement des collaborateurs: ont-ils des postes portables ou fixes? des périphériques amovibles sécurisés sont-ils fournis aux collaborateurs par le responsable IT ? les postes des collaborateurs sont-ils équipés de filtres intégrés ?
  • Les menaces auxquelles font face l’entreprise: certaines entreprises craignent plus que d’autres d’être la cible de cyber hacktivistes par exemple ;
  • Les attaques les plus couramment subies par l’entreprise: une recrudescence des tentatives de fraude au président est constatée ? Les meilleurs exemples pour illustrer vos propos sont ceux que vous voyez au quotidien ! N’hésitez pas à partager les mails reçus avec vos collaborateurs et à leur montrer comment vous avez déjoué cette tentative !
  • Les pratiques de sécurité qui restent à acquérir par les collaborateurs: un taux de mots de passe faibles en hausse, des directions en proie au shadow IT…

« L’avis de la rédaction » :  pour une 1ère occurence d’une sensibilisation (exemple: formation “nouveaux arrivants”), nous recommandons une sensibilisation en présentiel : celle-ci offre l’avantage aux métiers de pouvoirs identifier clairement les acteurs SSI, de favoriser la mémorisation du contenu, etc.

Rendez-vous demain pour la suite et l'épisode 2 !

Vous souhaitez en savoir plus ? Retrouvez le détail de notre offre Sensibilisation & Formation ici