La sécurité des données est un enjeu clé pour les entreprises. Dans un monde de plus en plus connecté, la cybercriminalité ne cesse d’augmenter. Les nouvelles technologies, omniprésentes, changent nos usages personnels et professionnels.
La sécurité des données pour lutter contre la cybercriminalité
Ce phénomène engendre, bien malgré lui, des nouveaux risques pour l’entreprise. TV5 Monde, HSBC, SONY et bien d’autres ont déjà subi des dommages collatéraux : pertes de données confidentielles, pertes financières, avantage concurrentiel menacé déclin de la confiance des actionnaires et investisseurs, image dégradée…
Par ailleurs, la multiplication des devices et des objets connectés (tablettes, watchs et autres wearables) peut poser des problèmes de sécurité.
Visant par exemple la destruction des données ou l’espionnage économique et industriel, les malveillances sont légion. Pour limiter les risques, la sécurité du SI se place donc au cœur de la stratégie de l’entreprise.
La sécurité du SI : un dispositif centré sur l’humain
Trop souvent, le rôle de l’employé et les risques liés à son comportement sont négligés.
Le saviez-vous ?
L’utilisation des meilleurs logiciels, des technologies les plus avancées, n’assure jamais à 100 % l’invulnérabilité d’un système. Dans la plupart des cas, l’homme est le point d’entrée des attaques.
L’employé n’adopte pas toujours un comportement « sécurité » et, est, à son insu, « déclencheur » de nombreuses attaques et d’intrusions.
Business & Decision accompagne ses clients sur la sensibilisation à la sécurité des données en agissant sur le facteur humain. Dans la seconde partie de cet article, je vais vous présenter une méthodologie utilisée chez l’un de nos clients, acteur majeur du domaine de l’aéronautique. L’objectif était d’instaurer une véritable culture sécurité et ainsi limiter les risques d’attaques de façon considérable.
Sensibiliser à la sécurité : un enjeu de taille pour les entreprises
La sensibilisation doit pousser au changement de comportement et à l’adoption de bonnes pratiques et de reflexes « sécurité » au quotidien : protéger ses informations confidentielles, renforcer son mot de passe, utiliser les réseaux sociaux à bon escient…
Une campagne de sensibilisation passera par trois phases. Une première étape consiste à informer par des actions de communication interne. Ensuite, l’entreprise amorce la phase de changement. Et, enfin, elle instaure des actions de maintien pour ancrer les nouveaux comportements dans la durée.
Cette approche se base ainsi sur l’humain : son comportement, ses émotions et son rythme.
Comment agir sur le comportement des salariés ?
L’employé est ultra-connecté, donc constamment submergé d’informations. Son temps de concentration est réduit car les sujets affluent de toutes parts à travers divers médias.
Pour l’interpeller et veiller à sa sensibilisation, il est important de provoquer chez lui une émotion. L’émotion est impérative pour lui permettre de s’identifier, se projeter, et remettre en question son propre comportement.
Trop de campagnes de sensibilisation sont anxiogènes : la peur et le « sermonnage ». Cela se répercute directement sur l’image de la sécurité des données dans l’entreprise : jugée trop sérieuse et psychorigide par les employés. Autant d’éléments qui transmettent des émotions négatives et qui causent souvent un déni du message face à la dureté des conséquences perçues (effet boomerang).
D’après certaines études sur le comportement, la transmission d’émotions positives (joie, surprise, humour…) est plus favorable à l’adhésion des employés. Les campagnes s’inscrivent donc dans une démarche de proximité avec les employés : plus digitales, plus impliquantes et plus interactives. Aucun média n’est épargné, la sensibilisation afflue de partout, tout le temps.
Des actions de sensibilisation
Plusieurs exemples d’action de sensibilisation (récurrentes ou ponctuelles) mises en place :
- Vidéos de sensibilisation diffusées sur les écrans TV et relayée sur l’Intranet.
Nous avons par exemple réalisé une campagne de sensibilisation pour Airbus Group. Une de ses vidéos, visible sur le site du Festival international du film d’entreprise « Canne Corporate Media and TV Awards 2015 » s’est d’ailleurs vu décerner un Dauphin d’Or le 15 octobre 2015. - Posters affichés dans les espaces communs
- Fiches « bonnes pratiques », apportant des solutions concrètes pour adopter un comportement « sécurité » en toutes circonstances
- « Posts » diffusés sur le réseau social d’entreprise
- Quizz sécurité, avec des cadeaux à remporter par les gagnants
- Sessions de sensibilisation pour des populations clefs
- Jeu de cartes, des guides, des goodies…
- Evénements sécurité réunissant des experts sécurité
- Mises en situation de « Phishing » visant à transmettre les bonnes pratiques
Un plan de sensibilisation peut donc être conçu sur le long terme (2 à 3 ans). Il peut par ailleurs intégrer divers actions et médias qui visent à informer et à impliquer. Ils apportent des solutions concrètes et simples à appliquer au quotidien.
Commentaires (2)
Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.