Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Une sensibilisation n'est pas une formation comme une autre !


La sensibilisation à la sécurité ou continuité en entreprise est une démarche délicate. Elle peut se heurter à des réactions de doute ou d’incrédulité.

Aborder cela avec des modules de formation classique peut être contre-productif ... il ne s'agit pas d'apprendre mais de modifier des comportements pour acquérir des bons réflexes.

Quelques réflexions sur le sujet.



D.R.
D.R.

La "sensibilisation" au kilomètre

Que l'on soit dans un contexte de sécurité ou de continuité d'activité, les corpus de bonnes pratiques insistent sur la nécessité de "sensibiliser" les membres du personnel.

Lorsqu'ils viennent en entreprise, les auditeurs portent une attention sur ce point et demandent à voir des listes de gens ayant suivi la sensibilisation.

La tentation est grande alors d'organiser des sessions de deux heures et de débiter les effectifs devant un animateur qui présente sans grand enthousiasme ses quarante slides conçus par quelqu'un d'autre ...

Au moins ainsi il y aura une longue liste à montrer à l'auditeur.

Une attitude blasée ou dubitative

Les personnes qui assistent à ces séances de formation peuvent avoir tendance à avoir une attitude blasée.

Les domaines abordés (sécurité, continuité) ne passionnent pas les foules et sont assez galvaudés. Les réactions neutres, voire négatives peuvent être fortes :

  • Sensation que cela « ne nous concerne pas »

  • Conviction que « l’on n’y peut rien de toute façon »

  • Impression que cela doit venir de l’informatique seule ou du management

Sensibiliser les utilisateurs aux « bonnes pratiques » en sécurité ou en continuité est donc un objectif malaisé à atteindre et nous voyons souvent des RSSI ou des RPCA au bord du découragement.


Le vrai enjeu : changer les comportements

Il ne s'agit pas de transmettre un savoir à des apprenants mais de changer des comportements après une prise de conscience.

  • Que dois-je faire si je constate que ma messagerie semble émettre des messages que je ne contrôle pas ?

  • Dois-je craindre de cliquer sur tel ou tel lien ? télécharger cette PJ ?

  • Que dois-je faire si tout le monde est dehors sous la pluie après une explosion dans les bureaux ? Que dois-je préparer ?

Présenter des situations plausibles et mettre en situation les personnels pour qu'ils perçoivent les enjeux : voilà une bonne sensibilisation.



Exemples concrets et interactivité

Une campagne de sensibilisation doit donc, pour être efficace, respecter quelques principes, comme par exemple :

  • S’appuyer sur des exemples concrets et accrocheurs de menaces réelles et de comportements vécus ayant clairement amené à des dégâts importants pour des organisations privées ou publiques

  • Avant de présenter une règle, montrer en quoi son absence est dommageable et en quoi un bon réflexe fondé sur une bonne pratique est préférable

  • Ne jamais sombrer dans la confiance aveugle et reconnaître que la sécurité est un effort permanent d’amélioration continue

  • Jouer la carte de l'interactivité en posant des questions et en recueillant les réactions : quelles sont les faiblesses du SI selon vous ? Comment préféreriez-vous qu'on s'y prenne pour les mots de passe ? etc.

L’idéal étant que le personnel sensibilisé comprenne en quoi l’absence de bons réflexes et le non-respect de bonnes pratiques peut introduire des failles aux conséquences potentiellement graves en sécurité ou continuité.

Pour cela, il est indispensable d'avoir des animateurs qui connaissent le sujet et restent crédibles tout au long des séances.


Emmanuel Besluau
Vendredi 6 Février 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2