Comment réussir votre sensibilisation à la Sécurité des Systèmes d’Information ? 5 facteurs clés de succès – Épisode 2

Episode 2 – Sélection des chiffres et études de cas au travers desquels les utilisateurs vont pouvoir s’identifier.

Plutôt qu’une longue litanie de bonnes pratiques sécurité, mieux vaut quelques chiffres ! A condition que ceux-ci soient dûment sélectionnés. L’objectif est que les collaborateurs puissent également s’identifier au travers de ces chiffres ! 

 

L’un des biais de nombreux RSSI est de vouloir justifier l’ensemble de leurs propos par des chiffres sur la réalité des menaces qui pèsent sur l’entreprise. Si les chiffres jouent un rôle argumentatif déterminant et permet la captation de l’auditoire, le “récit de chiffres” aura l’effet inverse de celui escompté. Il en est de même pour les études de cas, si elles ne sont pas adaptées à l’auditoire. 

Pour être réussie, la sélection des chiffres et études de cas doit s’opérer sur la base des éléments suivants :

1. Le secteur d’activité et le niveau de maturité de l’entreprise qui servira à l’étude de cas ou dont les chiffres sont issus.  

  • Une entreprise du même secteur d’activité que la vôtre a subi un ransomware ? 
  • Une entreprise qui dispose de mesures de sécurité similaires au vôtre a fait l’objet d’une cyberattaque ? 

C’est cet exemple qu’il faut sélectionner !

2. A défaut de trouver des chiffres ou études de cas d’autres entreprises, prenez la votre ! 

    • Votre entreprise a subi 3 tentatives de phishing dont une a réussie ? 
    • Un test d’intrusion (pentest) a démontré que les comptes administrateurs n’étaient pas suffisamment sécurisés ? Il faut présenter le chemin d’attaque exploité par les auditeurs (à condition que l’ensemble des vulnérabilités aient été corrigées ;)) !  

Plutôt que de considérer ces éléments comme des sujets honteux, faites en une force en sensibilisant vos collaborateurs !

3. Sélectionner une étude de cas, et présentez-la de bout en bout

    • Quelle est l’origine de la cyberattaque ? 
    • Comment a-t-elle été détectée ? Par qui ? En combien de temps ? 
    • Quels ont été les impacts à court terme et à long terme ? 
    • Quel a été le coût de la correction des failles ? 
    • Sous combien de temps les failles ont-elles été corrigées?

« L’avis de la rédaction » : Une démonstration vaut tout les chiffres et études de cas ! Si vous disposez du budget pour, n’hésitez pas à réaliser une démonstration de hacking grandeur nature auprès des apprenants !