5/14/2018 Former les salari s la s curit informatique est devenu une priorit - slidepd...
http://slidepdf.com/reader/full/former-les-salaries-a-la-securite-informatique-est-devenu-un
23
0 1 B U S I N E S S &
T E C H N O
I
5 / 0 4 / 2 0 1 2
I
0 1 n e t - e n t r e p r i s e s . f
r
EXPÉRIENCES
Former les salariés à la sécurité
informatique est devenu une priorité
RISKMANAGEMENT
Sans une mobilisation générale des collaborateurs de l’entreprise, lesystèmed’information de celle-cireste une passoire. La sensibilisationestprioritaire chez Daher,auministère des Affaires étrangères et européennes,dans le canton duJura suisse...
L’année2011,«horribilis»pourla sécu-
rité informatique. Si les outils de pro-tection (antivirus, chiffrement, filtrageURL, pare-feu, PKI, IDS/IPS,etc.) n’ont
jamais été aussi évolués, plusieurs atta-
ques informatiques récentes sur dessociétés aussiemblématiquesque Sony,RSA, ou Booz Allen Hamilton ont ba-layé bien des certitudes en la matière.La technologie est, certes, nécessaire,mais pas suffisante pour contrer despersonnes mal intentionnéeset décidéesà saboter le système d’information (SI)de l’entreprise ou à luidéroberdes don-nées. « Pour les directions générales, 2011a étél’ épreuve de feu.Elles ont découvert un nouveau monde, mouvant, impal-
pable, global, asymétrique et sans fron-tières organisationnelles et techniques »,affirme Vincent Maret, directeur exé-
cutif chez Price Waterhouse Coopers,un cabinet quipublie chaque année uneenquête sur la cybercriminalité.
Lameilleuredesdéfensespassepardessalariés avertisCe nouveau paysage des risques infor-matiques remet l’humain au centre detoute politique de sécurité. Face à l’in-géniosité croissante des hackers, dessalariésavertis constituent biensouventla meilleure des lignes de défense. D’oùle besoin de plus en plus fort de mettreen place des plans de sensibilisation
pour l’ensemble des collaborateurs.Maisattention, il n’existe pasde recetteunique: en fonctiondu métier, de l’his-torique ou des moyens de l’entreprise,chaque politique de sensibilisationseraspécique.Chez l’équipementier aéronautiqueDaher, c’est l’exposition du groupe au
risque de pillage intellectuel de sonsavoir-faire industriel qui a permis auRSSI de convaincre le comité de direc-tion d ’agir. « Un rapport annuel descommissaires aux comptes avait mis enexergue le besoin de renforcer la sécu-rité, explique Stéphane Joguet, RSSIchez Daher. Le comité d’audit des ac- I
A latêted’uneéquipe
de30personnes,SébastienMaire développe leSIRH de
labanque BPCE. Unemission
exigeante. P. 28
20000€
c’est
lemontantde la sanction financière imposée
par la Cnil à une société ayant envoyé
des SMScommerciaux abusifs. P. 30
G E T T Y I M A G E S
Lesrisquesde sevoir dérober lesdonnéesde l’entreprise doivent concerner lesemployés.
01H_2124_023_026_EXP1.indd 23 29/03/12 16:5
5/14/2018 Former les salari s la s curit informatique est devenu une priorit - slidepd...
http://slidepdf.com/reader/full/former-les-salaries-a-la-securite-informatique-est-devenu-un
24
0 1 B U S I N E S S &
T E C H N O
I
5 / 0 4 / 2 0 1 2
I
0 1 n e t - e n t r e p r i s e s . f
r
EXPÉRIENCES
tionnaires a demandé de son côté lamise en place d’une démarche de gestion
des risques. J’ai également réalisé desactions de sensibilisation montrant, par exemple, des copies chinoises de designd’avions. »Au sein de l’Agence régionale de santé(ARS) des Pays-de-la-Loire, la sensibi-lisation est aussi au cœur du déploie-ment du dossier médical personnel(DMP). « Le DMP en tant que tel est sécurisé, mais dans la chaîne de proces-sus, des zones d’intervention humainene peuvent pas être protégées de manièretechnique, souligne François Tesson,référent régionalsécurité des SI au seinde l’ARS. Dans le domaine médico-
social, C’est d’autant plus dicile quel’on stocke des données très privées qui,en même temps, doivent pouvoir être
facilement consultées par les profession-nels de santé. A cela s’ajoute le fait qu’il
y a beaucoup de corps de métier dié-rents, avec un turn-over parfois impor-tant. » Un programme « d’accultura-tion à la protection des informationsdesanté » a doncété lancédans lecadred’un appel à projets de l’Asips santé,pour apprendre aux professionnels du
secteur à manipuler leur carte à puceCPS, à protéger les données, à assurer
une traçabilité, etc. L’idée est de fournirune boîte à outils qui permette à cha-que établissement de créer des actionsde sensibilisation adaptées à soncontexte. Actuellement, le projet est enphase de prototypage. Trois popula-tions cibles ont été dénies: les déci-deurs (responsables d’établissement,de fédération, d’ARS...); les acteurs deprojet (informaticiens, chef de projet,référents locaux...); et les usagers (pa-tients, professionnels, étudiants...).
« Sensibiliser les employés, c’est les aider à se forger une culture de la sécurité et
à modier leur comportement », ex-plique GuillaumeLaudière, consultantsécurité chez Devoteam. Pour diuserun message de sensibilisation, le RSSIdispose de plusieurs types d’outils : lessupports de communication classi-ques (aches, newsletters, goodies,livrets...), les logiciels interactifs (quizzen ligne, e-learning, serious games...),les séances en présentiel (en petit co-mité ou en amphithéâtre) et les auditssur le terrain.
Le contact direct,voie royale
de la sensibilisation« Le plus ecace, c’est le présentiel. Il permet de donner des exemples précis,de faire des démonstrations, de réagir directement face au public », estimeDavid Sanchez, responsable pôle for-mation d’Université-Lexsi. C’est aussil’avis de Michel Cazenave, RSSI duministère des Aaires étrangères eteuropéennes (MAEE), pour qui « rienne remplace le contact direct et le fait dediscuter avec les gens ». Dans cette ad-
I C’ESTDIT
« Sensibiliser lescollaborateursconstitue labase pourtous lesautres
projetsde sécurité. »
StéphaneJoguet,RSSIdugroupeDaher
QUATREMÉTHODESPOURSENSIBILISERLESCOLLABORATEURSÀLASÉCURITÉAudit• Visitesde locaux• Fishing•Ingénieriesociale
Impact
Couverture de la population
Communication• Achage•Mailing• Goodies• Livrets
Impact
Couverturede la population
Présentiel• Enpetits groupesou enamphithéâtre
• Interventiond’experts internesou externes
• Populationciblée
Impact
Couverture de la population
E-learning• Quizscénarisés• Seriousgame• Modeen ligne et individuel
Impact
Couverturede la population
Source : Devoteam
01H_2124_023_026_EXP1.indd 24 29/03/12 17:4
5/14/2018 Former les salari s la s curit informatique est devenu une priorit - slidepd...
http://slidepdf.com/reader/full/former-les-salaries-a-la-securite-informatique-est-devenu-un
25
0 1 B U S I N E S S &
T E C H N O
I
5 / 0 4 / 2 0 1 2
I
0 1 n e t - e n t r e p r i s e s . f
r
EXPÉRIENCES
ministration, le thème de la sécurité estabordé dansle cadre de séminairesdes-
tinés auxchefs de projet et auxrespon-sables régionaux desSI. Ces usagerssontrégulièrement brieféssur « les piègesqui
guettent les diplomates ». Par ailleurs,des séances spéciales – d’une durée detrente minutesà quelques heures – avecparticipationobligatoiresontorganiséesà la demande desdiversesdirections oudes ociersde sécurité des ambassades,par exemple à l’occasion d’un incidentparticulier ou simplementdans le cadred’une piqûre de rappel. Michel Caze-nave n’hésited’ailleurs jamaisà prendrel’avion pour aller prêcher la bonne pa-role aux quatre coins du monde lors de
ces rencontres sécurité. « Le MAEE est le ministère le plus visé de France, avecchaque jour des attaques diérentes »,souligne-t-il.Le RSSI ducantondu Jura suisse mise,lui aussi, sur le présentiel. « La sécurité,cela n’intéresse pas grand monde en
général. Pour sensibiliser les gens, il est donc indispensable que ce soit vivant,que ce soit un spectacle », explique-t-il.Le responsable concentre pourl’instantseseorts sur les salariés et lesmembresdu gouvernement duJura.Depuis 2008,les premiers peuvent s’inscrire à desséances d’information d’une demi-
journée ou d’une journée, où serontabordés les risques informatiques auquotidien, que ce soit au niveau du SI,des téléphones mobiles ou encore desréseaux sociaux. On y détaille les me-naces dans un environnement profes-sionnel, mais aussi dans la sphère pri-
vée. « Cela permet d’attirer plus de personnes, car celatouchebeaucoup plusà la vie courante. Et, indirectement, lesutilisateurs comprennent aussi ce qu’il
faut faire sur le lieu du travail », pour-
I
suitBrunoKerouanton, RSSI du cantondu Jura suisse. Le taux de participationreste, néanmoins, relativement faible:20 personnes par an s’inscrivent auxsessions de sensibilisation sur un totalde 1600 collaborateurs. « Le chef deservice doit donner son accord pour qu’une personne puisse participer à ces
séances qui impliquent forcément unebaissede productivité.C’est un problèmeRH que nous sommes en train de ré-soudre », précise le RSSI. Le taux departicipation n’est pas un problème, enrevanche,pourles membres du gouver-nement, très demandeurs de ce typed’information. Maisles décideursayantdes plannings trèschargés, la longueurdes présentations a été réduite à uneheure et demie et les séances program-mées à des périodes creuses du calen-drier politique.
Le recoursà l’e-learning,interactifet peucoûteuxMais le présentiel a aussi un granddéfaut: il coûte cher et ne permet pasde toucherfacilement un grand nombrede personnes, parfois disséminées surplusieurs sites et dans plusieurs pays.Des limites qui peuvent être dépasséesgrâce à l’e-learning dont l’impact psy-chologique est plus important qu’unesimple ache. Le groupe Daher a aussifait ce choix. « Il fallait sensibiliser prèsde 3000 personnes, mais nous ne pou-vions pasfairele tour detous les 70 sitesen France.Nous avions besoind’un outil
simple et accessible »,expliqueStéphaneJoguet. L’équipementier aéronautiques’est appuyésur le logiciel Sensiwave deConscioTechnologies pour élaborer etdiuser ses messages. Une dizaine dethématiques ont été dénies (environ-nement de travail, mot de passe, impri-mante, clésUSB, etc.), et pourchacune
d’entre elles, dessaynètes en 3Daccom-pagnées d’un quizz. Résultat: 1809inscrits et 1 074 participants réels.« C’est un taux relativement normal »,
précise Pierre-Luc Réfalo, consultantchez Hapsis, qui a accompagné legroupe Daher dans la mise en œuvre.Le budget globalpource projet a étéde40000 euros.Evidemment, tout ne s’est pas déroulésans douleur. La principale dicultétechnique a étéle manquede référentieldes identités, indispensable pour pou-
voircibler les diérentes populations etleuradresserun messageadapté.« Nous
avonsperdu un temps énormeà recons-tituer ce référentiel, en partie avec desmacros Excel. Un vrai casse-tête », pré-cise Pierre-Luc Réfalo. Côté organisa-tion, un écueila étéle manque d’impli-cation des managers, qui n’ont passusamment incité leurs collabora-teurs à utiliser le logiciel de sensibilisa-tion. Attentionaussi aux fausses bonnesidées, comme la formation virtuelle àla maison. Techniquement possible, cemode de connexion n’a pas été du goûtdes utilisateurs qui, visiblement, n’ontpas voulu « rapporter du travail à lamaison ». Il faut également souligner
C’ESTDIT
«Aborderles risquesinformatiquesde lavie privéepermet
égalementd’intéresserles collaborateurs.Sinon, personnenesedéplaceravolontairement. »
BrunoKerouanton,RSSI ducantonduJura suisse
D R
Iln’estpluspossibledeconstruireuneforteresseautourdenosSI.Lasolutionrésidedanslaformation
descollaborateurs.Depuis unan,
nousformonssystématiquement
toutnotrepersonnelà lasécurité,
sousl’anglecomportemental.
Celasefaitdemanièregénérique
deuxfoisparan,sousformede saynètesetdequizzenligne.Nousdemandons
à l’ensembledes collaborateurs
departiciper.50%d’entreeuxont
suivilaformationet30%sontallés
jusqu’aubout.
Pourlesmanagers,nousfaisonségalementdesformationsspécifiquesauxcontextesdenosclientsgrandscomptes.Noussommes
présentschezunevingtainedegrandes
entrepriseset nousdevonssuivreleurspolitiquesde sécurité.C’estle rôle
desmanagersdes’assurerque les
collaborateurs larespectentbien.
L’AVISDEL’EXPERT
FrançoisCharpe,DSIgroupe chezAltran
« Notre personnel est tenu derespecterlapolitique desécurité denosclients »
01H_2124_023_026_EXP1.indd 25 29/03/12 16:5
5/14/2018 Former les salari s la s curit informatique est devenu une priorit - slidepd...
http://slidepdf.com/reader/full/former-les-salaries-a-la-securite-informatique-est-devenu-un
26
0 1 B U S I N E S S &
T E C H N O
I
5 / 0 4 / 2 0 1 2
I
0 1 n e t - e n t r e p r i s e s . f
r
EXPÉRIENCES
une évidence parfois sous-estimée :l’e-learning n’estunesolutionquepourlescollaborateurs connectésauSI. « Lesintérimaires, par exemple, doivent êtrecontactés directement », souligne Sté-phaneJoguet.Néanmoins,le RSSIresteglobalement satisfait de l’opération.L’enveloppe budgétaire est reconduitepour l’année prochaine.PourConscioTechnologies, l’avenirdela sensibilisation passe, évidemment,par l’e-learning. Commercialisé enmode Saas (Soware as a Service), lelogiciel Sensiwave est facturé 5000 eu-
ros par compte administrateur. A cela viennent s’ajouter environ 2000 eurosparanpour lecontenu (saynètes, quizz,
vidéos 3D). L’éditeur revendique à ce jour un cinquantaine de clients, prin-cipalement des grands comptes et desadministrations. « Développer uneculture de sécurité informatique, c’est un travail de longue haleine qui prend
plusieurs années, soutient Michel Gé-rard, PDGdel’éditeur. C’est impossibleà faire avec uniquement des séances en
présentiel. Il faut jouer sur tous les ta-bleaux. » C’est aussi l’avis de StéphaneJoguet, quiutilise l’e-learningpourune
sensibilisation demasse,mais privilégiele présentiel pour cibler certaines po-pulations, approfondir certaines thé-matiques ou apporter un angle d’ap-proche plus contextuel.Lancer des actions de sensibilisation,c’est bien. Encore faut-il vérier sonimpact réel. Pourtant, comment éva-luer le comportement des collabora-teurs et leur culture auniveausécuritéinformatique? Pour Pierre-LucRéfalod’Hapsis,la solution consiste à se doterd’indicateurs pour mesurer une pro-gression de la maturité à la suite d’unplan de sensibilisation. Il propose
d’évaluer, par simple observation oupar l’intermédiaire de QCM, l’impli-
cation du management, la sensibilitéaux risques SI, le nombre de collabo-rateurs formés, le nombre d’actions etles moyens mis en œuvre. Dans cetteperspective, l’e-learning et un outilidéal car il génère automatiquementtoute une batterie de chires: taux departicipation, assiduité, taux debonnesréponses dans les quizz, etc. LeMAEE,de son côté, a déployé un dispositif complet d’audits, menés plusieurs foispar an par lesresponsables internes oupar des organisations tierces (inspec-tion ministérielle, DCRI, Défense).MichelCazenavese eaussi beaucoup
aux retours directs, en discutant avecles collaborateurs ou en analysant lamanière dont i ls réagissent.
DesauditsquifavorisentlaprisedeconscienceUne autre façon d’évaluer le niveau dematurité passepar lesaudits comporte-mentaux, par exemple en analysant lasolidité des mots de passe sauvegardésdansla base dedonnées (enrécupérantdes résumés cryptographiques), ou enréalisant de fausses attaques (coups del où l’on demande login et mot de
passe, phishing par courriel). Si cesaudits ont un fort impact sur la prisede conscience des utilisateurs, il estimpératif de bien cadrer ce type d’ac-tions. « Il faut prévenir la direction gé-nérale et, éventuellement, les déléguéssyndicaux et les correspondants Cnil »,explique David Sanchez d’Université-Lexsi. Il est également préférable d’an-
noncer la couleur aux collaborateursan qu’ils ne sentent pas piégés. Eneet, dans une stratégie de responsa-bilisation, cela se révélerait contre-productif.M GILBERTKALLENBORN
I
D R
L’AVISDE L’EXPERT
GuillaumeLaudière,consultantsécurité
chezDevoteam
LeRSSIestengénérall’initiateurd’unplandesensibilisation.Mais
pour quela démarche réussisse, une
personnehautplacée doitvalider
toutes lesactionsmenées, qu’elleen
soitle sponsor. C’estt d’autantplus
importantque leRSSIs’appuiera sur
diversservicesinternes: formation,
RH, communication, équipede
publication.
Lecoûtd’unplandesensibilisationdépenddelatailledel’entrepriseetduniveaudeculturedesécurité. Celapeutvarier de30000 à plusieurs
centainesde milliersd’euros.Mais,
souvent, lesdépenses sontlimitées.
LesRSSIontdesbudgetspriorisés,
et la sensibilisation vienten dernier.
Lesactions entreprises restentdonc
assezsimples: sessions e-learning,
espace intranet,etc. Lemanque
detempsestaussi unfreinau
développement de la sensibilisation.
Luttercontreladivulgation2.0
K
s Lewebsocialfavoriseladivulgationd’informationsprofessionnelles,malveillante
ounon. Etcelapour plusieursraisons:
la compulsion, la banalisation
de l’information, lapertede loyauté
dessalariés, lemélangevie
privée-professionnelle.
s L’impactpourl’entrepriseestréel:atteinteà l’e-réputationou auxdroits
de propriétéintellectuelle,perte de
compétitivité, pertede clientèle, échec
dans lesnégociationscommerciales,etc.
s Ilfautredonnerdelavaleuràl’information: élaborer unepolitiqued’usage desmédiassociauxqui précise
les rôles et les responsabilités de
chacun; ajouter desclausesde
confidentialité auxcontratsde travail.
s Évaluerlecomportementdescollaborateursest indispensable,par exemple lorsdes entretiens
d’embaucheet d’évaluation.
Lesincidentssontanticipéspar lamise
enplaced’unecellule degestion des
risques rattachéeà laDG ou laDRH.
ÀSAVOIR
C’ESTDIT
«Nous allonsfournir une boîteà outils quipermettraà chaque
établissementde santédecréer des actionsdesensibilisation adaptéesà son contexte. »
FrançoisTesson, référent régionalsécuritédesSI,AGSPays-de-la-Loire
01H_2124_023_026_EXP1.indd 26 29/03/12 16:5
Top Related