Pour Marc Cierpisz, Head of security services | RSSI/CISO – C2S Groupe Bouygues, l’accompagnement des collaborateurs est le prérequis à toute politique de cyber-sécurisation.
Les entreprises sont de plus en plus exposées aux attaques du fait de la multiplication des nouveaux usages et de l’hébergement de leurs applications métiers dans le Cloud. La question de la sécurité est devenue incontournable. D’autant que cette vulnérabilité, toujours plus grande, s’inscrit aujourd’hui dans un contexte législatif européen, le RGPD (Règlement Européen de Protection des Données) qui bouscule les certitudes et fait plus que jamais de la donnée personnelle une valeur à protéger. Au coeur des dispositifs de sécurité, le facteur humain est l’un des enjeux majeurs pour les entreprises…
Le RGPD (Règlement Européen de Protection des Données) bouscule les certitudes et fait plus que jamais de la donnée personnelle une valeur à protéger.
Quelle est la part du facteur humain dans les enjeux de sécurité ?
MC : Il serait hasardeux de tenter de donner des pourcentages en la matière. En revanche, je fais régulièrement le parallèle avec la sécurité routière. Les conducteurs ne pensent jamais constituer un danger. Et plus leur voiture est dotée d’équipement de sécurité, plus ils ont le sentiment qu’ils ne risquent rien. En matière de sécurité informatique, le problème est identique. Le collaborateur n’a jamais l’impression qu’il a des pratiques à risques, et il en mesure rarement les conséquences réelles. Il est par ailleurs convaincu que les protections déployées sur le système d’information de l’entreprise (Firewall, antivirus, etc.), le mettent à l’abri de la plupart des menaces…
Quels sont les principaux leviers pour une sensibilisation efficace des collaborateurs ?
MC : L’ensemble des ressorts pédagogiques doit être exploré : formation, sensibilisation, distribution de documentation, etc…. Mais cet arsenal montre rapidement ses limites et pour être efficace, il faut selon moi, accepter de bousculer les choses. Nous organisons, avec l’accord du management, une campagne de phishing (mail bien imité qui pirate vos mots de passe). Celle-ci expose les collaborateurs à une véritable attaque. Parce que l’on apprend beaucoup de ses erreurs, cela permet d’accélérer la prise de conscience de ceux qui tombent dans le piège. Une fois encore, l’objectif n’est pas d’incriminer, ou de jeter l’anathème sur un collaborateur mais bien de détecter les leviers d’amélioration et de faire en sorte que les discours pédagogiques soient plus impactants.
L’ensemble des ressorts pédagogiques doit être exploré.
La formation et l’accompagnement suffisent-ils à imposer une prise de conscience définitive ?
MC : La démarche doit être itérative. Mais dans tous les cas, il faut réunir différents prérequis essentiels. Il faut d’abord accepter que l’erreur soit humaine et qu’elle puisse être un vecteur d’amélioration. Enfin, il faut toujours faire preuve d’inventivité pour capter l’attention des collaborateurs sur des pratiques qui représentent souvent des contraintes. Apportez un grain de folie dans vos campagnes de sensibilisation afin que votre discours porte véritablement.