Sécurité du SI : la principale faille, c’est vous !

La sécurité des données pour lutter contre la cybercriminalité

La sécurité des données est l’enjeu des entreprises en 2016. Dans un monde de plus en plus connecté, la cybercriminalité ne cesse d’augmenter. Les nouvelles technologies, omniprésentes, changent nos usages personnels et professionnels.

Ce phénomène engendre, bien malgré lui, des nouveaux risques pour l’entreprise. TV5 Monde, HSBC, SONY et bien d’autres ont déjà subi des dommages collatéraux : pertes de données confidentielles, pertes financières, avantage concurrentiel menacé déclin de la confiance des actionnaires et investisseurs, image dégradée… Par ailleurs, la multiplication des devices et des objets connectés (tablettes, watchs et autres wearables) peut poser des problèmes de sécurité.

Visant par exemple la destruction des données ou l’espionnage économique et industriel, les malveillances sont légion. Pour limiter les risques, la sécurité du SI se place donc au cœur de la stratégie de l’entreprise.

La sécurité du SI : un dispositif centré sur l’humain

Trop souvent, le rôle de l’employé et les risques liés à son comportement sont négligés.

Le saviez-vous ?

L’utilisation des meilleurs logiciels, des technologies les plus avancées, n’assure jamais à 100 % l’invulnérabilité d’un système. Dans la plupart des cas, l’homme est le point d’entrée des attaques.

sécurité informatiqueEtude de BalaBit IT Security / Etude Trendmicro – 2013/ Etude de Dashlane – 2013/ Etude de Splashdata – 2014

L’employé n’adopte pas toujours un comportement « sécurité » et, est, à son insu, « déclencheur » de nombreuses attaques et d’intrusions.

Business & Decision accompagne ses clients sur la sensibilisation à la sécurité des données en agissant sur le facteur humain. Dans la seconde partie de cet article, je vais vous présenter une méthodologie utilisée chez l’un de nos clients, acteur majeur du domaine de l’aéronautique. L’objectif était d’instaurer une véritable culture sécurité et ainsi limiter les risques d’attaques de façon considérable.

Sensibiliser à la sécurité : un enjeu de taille pour les entreprises

La sensibilisation doit pousser au changement de comportement et à l’adoption de bonnes pratiques et de reflexes « sécurité » au quotidien : protéger ses informations confidentielles, renforcer son mot de passe, utiliser les réseaux sociaux à bon escient…

Une campagne de sensibilisation passera par trois phases. Une première étape consiste à informer par des actions de communication interne. Ensuite, l’entreprise amorce la phase de changement. Et, enfin, elle instaure des actions de maintien pour ancrer les nouveaux comportements dans la durée.

theorie-prochaska

Cette approche se base ainsi sur l’humain : son comportement, ses émotions et son rythme.

Comment agir sur le comportement des salariés ?

L’employé est ultra-connecté, donc constamment submergé d’informations. Son temps de concentration est réduit car les sujets affluent de toutes parts à travers divers médias.

networker-teacher

Pour l’interpeller et veiller à sa sensibilisation, il est important de provoquer chez lui une émotion. L’émotion est impérative pour lui permettre de s’identifier, se projeter, et remettre en question son propre comportement.

Trop de campagnes de sensibilisation sont anxiogènes : la peur et le « sermonnage ». Cela se répercute directement sur l’image de la sécurité des données dans l’entreprise : jugée trop sérieuse et psychorigide par les employés. Autant d’éléments qui transmettent des émotions négatives et qui causent souvent un déni du message face à la dureté des conséquences perçues (effet boomerang).

D’après certaines études sur le comportement, la transmission d’émotions positives (joie, surprise, humour…) est plus favorable à l’adhésion des employés. Les campagnes s’inscrivent donc dans une démarche de proximité avec les employés : plus digitales, plus impliquantes et plus interactives. Aucun média n’est épargné, la sensibilisation afflue de partout, tout le temps.

Des actions de sensibilisation

Des exemples d’action de sensibilisation (récurrentes ou ponctuelles) mises en place :

  • Des vidéos de sensibilisation diffusées sur les écrans TV et relayée sur l’Intranet.
    Nous avons par exemple réalisé une campagne de sensibilisation pour Airbus Group. Une de ses vidéos, visible sur le site du Festival international du film d’entreprise « Canne Corporate Media and TV Awards 2015 » s’est d’ailleurs vu décerner un Dauphin d’Or le 15 octobre 2015.
  • Des posters affichés dans les espaces communs
  • Des fiches « bonnes pratiques », apportant des solutions concrètes pour adopter un comportement « sécurité » en toutes circonstances
  • Des « posts » diffusés sur le réseau social d’entreprise
  • Des quizz sécurité, avec des cadeaux à remporter par les gagnants
  • Des sessions de sensibilisation pour des populations clefs
  • Un jeu de cartes, des guides, des goodies…
  • Des événements sécurité réunissant des experts sécurité
  • Des mises en situation de « Phishing » visant à transmettre les bonnes pratiques

Un plan de sensibilisation peut être conçu sur le long terme (2 à 3 ans). Il peut intégrer divers actions et médias qui visent à informer et à impliquer. Ils apportent des solutions concrètes et simples à appliquer au quotidien.

Si vous souhaitez en savoir plus sur la conduite du changement pour la sécurité en entreprise, n’hésitez pas à nous contacter via ce formulaire.

Votre message

 

mars 10, 2016

0 responses on "Sécurité du SI : la principale faille, c’est vous !"

Leave a Message

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Template Design © IITIC FRANCE. Tous les droits sont réservés.
X