Les personnes travaillant dans votre entreprise peuvent être un frein ou un moteur à la sécurité. Il convient alors de s’assurer que la sécurité soit vue comme une aide et non un obstacle. Il faut donc s’assurer que tout le monde connaisse ce qui peut – et doit – être fait. Les échanges sur la réalité des pratiques doit être possible afin d’améliorer les comportements. Une fois ces pratiques améliorées, un accompagnement des personnes est à mettre en place afin de faciliter leur intégration. Enfin, il sera important de tester l’intégration de ces pratiques chez ces personnes.
I- Communiquer et échanger
Vous pouvez mettre en place les systèmes les plus sécurisés, si les personnes qui utilisent ce système ne savent pas ce qui doit être fait en matière de sécurité alors ces systèmes ne sont pas sécurisés. Il vous faut donc vous assurer que vos politiques, procédures et bonnes pratiques de sécurité soient connues et comprises.
Dans un premier temps, il va vous falloir établir un plan de communication avec un objectif. Pour que ce plan et cet objectif soient pertinents, il faudra d’abord établir qui est visé par ce plan et dans quel contexte ce plan doit se dérouler. En effet, on ne communiquera pas à la même vitesse ni de la même façon selon que l’on parle à la presse, à un client, à un public interne, à un partenaire ou à la direction. De même, on ne peut pas avoir la même communication selon le contexte, qu’il s’agisse de sensibilisation, de prévention, de formation ou de gestion d’incidents. Enfin, une fois les destinataires et le contexte identifiés, il faudra définir les porteurs d’actions pour ce plan.
Une fois que l’on a fait une véritable cartographie des publics et des objectifs de communications associés (marketing, sensibilisation, incident, …), il faudra alors définir le support de communication adapté.
Pour cela il existe plusieurs moyens dont voici quelques exemples :
Des courtes vidéos mettant un scène des cas pratique de sécurisation
Des bandes dessinées tenant sur une affiche
Des événements autour de petits-déjeuner
Des formations de sensibilisation en ligne ou en présentiel.
Plusieurs formats pour sensibiliser les personnes existent et cela ne se limite qu’à notre imagination. Certains privilégient l’échange tandis que d’autres seront plus à sens unique. Il faut s’adapter en fonction des appétences des publics et du contexte.
Prenez en compte les retours des parties prenantes. Une mesure appliquée est une mesure comprise et acceptée. Il est même possible de mettre en place des moyens pour favoriser cet échange. Voici quelques exemples pour vous donner des idées :
Une boîte mail bien identifiée pour centraliser les retours
Une personne référente auprès de qui les personnes pourront se fier
Les espaces dédiés sur les réseaux sociaux d’entreprises
Un salon de discussion dédié sur vos messageries instantanée
Maintenant, que nous avons vu comment faire pour que les personnes apprennent ce qu’il y a à faire et comment ils peuvent dire ce qu’ils en pensent, la question “Comment on fait ? ” va forcément arriver un jour.
II - Accompagner l'application des mesures de sécurité
Les personnes que vous allez sensibiliser ne sauront pas toujours mettre en place les mesures communiquées. C’est pourquoi il est essentiel que vous les accompagnez dans cette démarche. Il est donc possible que vous mettiez en place différents moyens pour qu’ils sachent comment faire, par exemple :
Un wiki pour qu’il soit possible de consulter des tutoriels écrits par votre équipe sécurité mais aussi, pourquoi pas, par leurs collègues
Une FAQ rassemblant toutes les questions les plus courantes ;
Un espace documentaire rassemblant toutes les sources utiles ;
Des accompagnants formés à appliquer les solutions de sécurité.
Les moyens mis en place devront être mis à jour régulièrement en fonction de l’actualité de votre société mais aussi de l’actualité de l’environnement dans lequel évolue votre société. Il ne faudra pas hésiter à adapter les contenus selon le public que vous visez. Il vous est également possible d’en limiter la visibilité afin de ne pas noyer les utilisateurs sous les informations.
Lors de la mise en place de l’accompagnement, l’important est de bien s’assurer que celle-ci sera bien adaptée à votre contexte et aux habitudes de l’entreprise. Il n’y a rien de pire que d’investir du temps et de l’énergie dans ce genre de projet pour qu’au final, personne ne l’utilise.
Une fois que les personnes auront les moyens de savoir comment appliquer les mesures de sécurité, alors vous pourrez mettre en place des moyens pour tester ce qui a été fait ou retenu.
III - Tester la connaissance et l'application des mesures
Une fois que vous aurez communiqué et aidé à appliquer vos politiques, vos procédures et les bonnes pratiques, alors vous pourrez procéder à des tests pour vérifier que tout a bien été compris et maîtrisé.
Pour tester, de même que pour communiquer, il vous faut définir le but, le public cible, le contexte et les personnes qui vont aider à appliquer ou qui pourraient être impactés par le test. Un exemple d’impact pourrait être que votre support ou la personne sachante sera plus sollicité. Une fois ces étapes passées, vous pourrez alors définir un plan pour savoir quoi tester.
Par exemple vous pouvez tester :
- La capacité à détecter un phishing
- La capacité d’alerte en cas d’anomalie constatée
- La capacité à ne pas introduire de personnes inconnues ou d’éléments inconnus dans les bâtiments de la société
Une fois que vous avez défini ce que vous vouliez tester il faudra définir comment le tester :
- Envoie de mails redirigeant vers une URL suspecte que vous maîtrisez
- Abandon de clés USB dans le parking
- Mandater un prestataire pour tenter diverses attaques d’ingénierie sociale (introduction physique, récupération d’identifiant, détournement de fonds, …)
Évidemment, il faudra définir les actions à mener après les tests selon les réactions des personnes lors des tests, par exemple :
- Activité obligatoire (formation, lecture, …)
- Communication autour du test
- Bonus objectivé en fonction de la réussite
Un test ne doit pas être fait sans avoir un moyen d’aider les personnes testées à s’améliorer en cas d’échec. De même, il ne faut pas hésiter à valoriser en cas d’exercice réussi.
Il est important de souligner qu’il faut absolument communiquer et aider à appliquer entre deux tests. Trop de sociétés enchaînent les tests sans prendre le temps de le faire et s’étonnent de ne pas voir de progression
Comme nous l’avons vu, favoriser la communication et les échanges autour de la sécurité permet aux personnes de mieux se rendre compte de ce qu’ils doivent faire pour aider à sécuriser la société. Cela pourra également les amener à demander de se faire aider et donc à les rendre acteurs de cette sécurité. En étant acteur, ils réussiront mieux les tests que vous effectuerez mais seront aussi plus vigilants et préparés en cas de réels problèmes. Allistic pourra vous aider à définir le plan de communication, la meilleure manière d’aider vos employés à s’améliorer et saura vous proposer les tests les plus pertinents. Nous pourrons le faire en prenant bien en compte le contexte de votre société et ses besoins. Ainsi, ensemble, nous pourrons mieux sécuriser votre entreprise et améliorer le travail de vos collaborateurs.
Les articles qui pourraient également vous intéresser ..
Webinaire : Transformez vos collaborateurs en cyberhéros !
- Jean-Michel
- 19 novembre 2024
- blog
MFA : Multi Factor Authentication
- Jean-Michel
- 9 juillet 2024
- blog
Le gestionnaire de mots de passe
- Anthony SCANDELLA
- 15 juin 2024
- blog / sécurité opérationnelle
Protégez votre réseau informatique : les scans de vulnérabilités
- Jean-Michel
- 2 mai 2024
- blog / Gouvernance / sécurité opérationnelle
Comment sécuriser votre Active Directory
- Jean-Michel
- 25 avril 2024
- blog / sécurité opérationnelle
EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes
- Jean-Michel
- 7 février 2024
- blog