Comment réussir votre sensibilisation à la Sécurité des Systèmes d’Information ?
5 facteurs clés de succès - Episode 3
Episode 3 – Identification de solutions par delà l’interdiction.
La clé de l’apprentissage réside dans la méthode. N’oubliez pas que pour une sensibilisation réussie, il faut un public attentif. En outre, nous vous conseillons de :
- Privilégier l’enseignement positif.
En effet, un apprentissage mettant en avant les bons points sera mieux reçu par le public. N’interdisez pas, mais conseillez de ne pas brancher de clés USB inconnue. Et surtout, expliquer le “Pourquoi”. Un utilisateur qui comprend sera nettement plus efficace.
2. Essayer de comprendre l’utilisateur et adapter vos sensibilisations en conséquence !
Une énumération de bonnes pratiques ou de règles de sécurité à respecter met vos interlocuteurs dans une disposition de contrainte.
- Pourquoi un utilisateur aura tendance à utiliser le même mot de passe partout ? Car c’est plus pratique, et cela demande moins d’effort de mémorisation !
- Connaît-il les fonctionnalités d’un gestionnaire de mot de passe? Lui a-t-on communiqué le nom de tels outils ? Et surtout sait-il comment l’utiliser ?
Il faut apporter une solution.
Par exemple, “Nous vous recommandons de ne pas vous connecter au wifi public sans VPN” doit s’accompagner d’un “Si vous devez absolument vous connecter, préférez un partage de connexion 4G depuis votre Smartphone au wifi public”.
Tous ces éléments doivent être abordés, c’est là la plus-value d’une sensibilisation par rapport à une communication mail !
3. Accompagner le collaborateur.
Plutôt que d’expliquer uniquement pourquoi il ne faut pas cliquer sur une pièce jointe suspecte, rappeler la marche à suivre si un utilisateur étourdi clique.
Si vous n’avez pas de procédure, c’est le moment d’en créer une.
Il faut préciser :
- Les actions immédiates à réaliser,
- La personne à contacter,
- Et ce qu’il ne faut pas faire.
Surtout, diffusez-là ! De cette manière, cet utilisateur étourdi se remémorera probablement la marche à suivre.
4. Enfin, veiller à présenter les outils qui sont à la disposition des utilisateurs.
Pour cela, il faut expliquer le fonctionnement et l’utilité des outils ! De plus, certains outils pourront, par la suite, être utilisés à des fins personnels (ex: Gestionnaire de mot de passe).
Nous conseillons également d’encourager le développement d’initiatives personnelles dans un but de sécurité, avec une validation préalable de la part du RSSI. Par exemple, un utilisateur vous propose l’acquisition de filtres de confidentialité, l’idée mérite d’être approfondie !
“L’avis de la rédaction” : Dans la continuité du choix des chiffres et études de cas à présenter, il faut trouver le bon équilibre entre Sécurité et Accessibilité.