Former les salariés à la sécurité informatique est devenu une priorité

5/14/2018 Former les salari s la s curit informatique est devenu une priorit - slidepd...

http://slidepdf.com/reader/full/former-les-salaries-a-la-securite-informatique-est-devenu-un

23

0 1 B U S I N E S S &

T E C H N O

I

5 / 0 4 / 2 0 1 2

I

0 1 n e t - e n t r e p r i s e s . f

r

EXPÉRIENCES

Former les salariés à la sécurité

informatique est devenu une priorité

RISKMANAGEMENT

Sans une mobilisation générale des collaborateurs de l’entreprise, lesystèmed’information de celle-cireste une passoire. La sensibilisationestprioritaire chez Daher,auministère des Affaires étrangères et européennes,dans le canton duJura suisse...

L’année2011,«horribilis»pourla sécu-

rité informatique. Si les outils de pro-tection (antivirus, chiffrement, filtrageURL, pare-feu, PKI, IDS/IPS,etc.) n’ont

jamais été aussi évolués, plusieurs atta-

ques informatiques récentes sur dessociétés aussiemblématiquesque Sony,RSA, ou Booz Allen Hamilton ont ba-layé bien des certitudes en la matière.La technologie est, certes, nécessaire,mais pas suffisante pour contrer despersonnes mal intentionnéeset décidéesà saboter le système d’information (SI)de l’entreprise ou à luidéroberdes don-nées. « Pour les directions générales, 2011a étél’ épreuve de feu.Elles ont découvert un nouveau monde, mouvant, impal-

pable, global, asymétrique et sans fron-tières organisationnelles et techniques »,affirme Vincent Maret, directeur exé-

cutif chez Price Waterhouse Coopers,un cabinet quipublie chaque année uneenquête sur la cybercriminalité.

Lameilleuredesdéfensespassepardessalariés avertisCe nouveau paysage des risques infor-matiques remet l’humain au centre detoute politique de sécurité. Face à l’in-géniosité croissante des hackers, dessalariésavertis constituent biensouventla meilleure des lignes de défense. D’oùle besoin de plus en plus fort de mettreen place des plans de sensibilisation

pour l’ensemble des collaborateurs.Maisattention, il n’existe pasde recetteunique: en fonctiondu métier, de l’his-torique ou des moyens de l’entreprise,chaque politique de sensibilisationseraspécique.Chez l’équipementier aéronautiqueDaher, c’est l’exposition du groupe au

risque de pillage intellectuel de sonsavoir-faire industriel qui a permis auRSSI de convaincre le comité de direc-tion d ’agir. « Un rapport annuel descommissaires aux comptes avait mis enexergue le besoin de renforcer la sécu-rité, explique Stéphane Joguet, RSSIchez Daher. Le comité d’audit des ac- I

A latêted’uneéquipe

de30personnes,SébastienMaire développe leSIRH de

labanque BPCE. Unemission

exigeante. P. 28

20000€

c’est

lemontantde la sanction financière imposée

par la Cnil à une société ayant envoyé

des SMScommerciaux abusifs. P. 30

G E T T Y I M A G E S

Lesrisquesde sevoir dérober lesdonnéesde l’entreprise doivent concerner lesemployés.

01H_2124_023_026_EXP1.indd 23 29/03/12 16:5



24

0 1 B U S I N E S S &

T E C H N O

I

5 / 0 4 / 2 0 1 2

I


r

EXPÉRIENCES

tionnaires a demandé de son côté lamise en place d’une démarche de gestion

des risques. J’ai également réalisé desactions de sensibilisation montrant, par exemple, des copies chinoises de designd’avions. »Au sein de l’Agence régionale de santé(ARS) des Pays-de-la-Loire, la sensibi-lisation est aussi au cœur du déploie-ment du dossier médical personnel(DMP). « Le DMP en tant que tel est sécurisé, mais dans la chaîne de proces-sus, des zones d’intervention humainene peuvent pas être protégées de manièretechnique, souligne François Tesson,référent régionalsécurité des SI au seinde l’ARS. Dans le domaine médico-

social, C’est d’autant plus dicile quel’on stocke des données très privées qui,en même temps, doivent pouvoir être

facilement consultées par les profession-nels de santé. A cela s’ajoute le fait qu’il

y a beaucoup de corps de métier dié-rents, avec un turn-over parfois impor-tant. » Un programme « d’accultura-tion à la protection des informationsdesanté » a doncété lancédans lecadred’un appel à projets de l’Asips santé,pour apprendre aux professionnels du

secteur à manipuler leur carte à puceCPS, à protéger les données, à assurer

une traçabilité, etc. L’idée est de fournirune boîte à outils qui permette à cha-que établissement de créer des actionsde sensibilisation adaptées à soncontexte. Actuellement, le projet est enphase de prototypage. Trois popula-tions cibles ont été dénies: les déci-deurs (responsables d’établissement,de fédération, d’ARS...); les acteurs deprojet (informaticiens, chef de projet,référents locaux...); et les usagers (pa-tients, professionnels, étudiants...).

« Sensibiliser les employés, c’est les aider à se forger une culture de la sécurité et

à modier leur comportement », ex-plique GuillaumeLaudière, consultantsécurité chez Devoteam. Pour diuserun message de sensibilisation, le RSSIdispose de plusieurs types d’outils : lessupports de communication classi-ques (aches, newsletters, goodies,livrets...), les logiciels interactifs (quizzen ligne, e-learning, serious games...),les séances en présentiel (en petit co-mité ou en amphithéâtre) et les auditssur le terrain.

Le contact direct,voie royale

de la sensibilisation« Le plus ecace, c’est le présentiel. Il permet de donner des exemples précis,de faire des démonstrations, de réagir directement face au public », estimeDavid Sanchez, responsable pôle for-mation d’Université-Lexsi. C’est aussil’avis de Michel Cazenave, RSSI duministère des Aaires étrangères eteuropéennes (MAEE), pour qui « rienne remplace le contact direct et le fait dediscuter avec les gens ». Dans cette ad-

I C’ESTDIT

« Sensibiliser lescollaborateursconstitue labase pourtous lesautres

projetsde sécurité. »

StéphaneJoguet,RSSIdugroupeDaher

QUATREMÉTHODESPOURSENSIBILISERLESCOLLABORATEURSÀLASÉCURITÉAudit• Visitesde locaux• Fishing•Ingénieriesociale

Impact

Couverture de la population

Communication• Achage•Mailing• Goodies• Livrets

Impact

Couverturede la population

Présentiel• Enpetits groupesou enamphithéâtre

• Interventiond’experts internesou externes

• Populationciblée

Impact

Couverture de la population

E-learning• Quizscénarisés• Seriousgame• Modeen ligne et individuel

Impact

Couverturede la population

Source : Devoteam

01H_2124_023_026_EXP1.indd 24 29/03/12 17:4



25

0 1 B U S I N E S S &

T E C H N O

I

5 / 0 4 / 2 0 1 2

I


r

EXPÉRIENCES

ministration, le thème de la sécurité estabordé dansle cadre de séminairesdes-

tinés auxchefs de projet et auxrespon-sables régionaux desSI. Ces usagerssontrégulièrement brieféssur « les piègesqui

guettent les diplomates ». Par ailleurs,des séances spéciales – d’une durée detrente minutesà quelques heures – avecparticipationobligatoiresontorganiséesà la demande desdiversesdirections oudes ociersde sécurité des ambassades,par exemple à l’occasion d’un incidentparticulier ou simplementdans le cadred’une piqûre de rappel. Michel Caze-nave n’hésited’ailleurs jamaisà prendrel’avion pour aller prêcher la bonne pa-role aux quatre coins du monde lors de

ces rencontres sécurité. « Le MAEE est le ministère le plus visé de France, avecchaque jour des attaques diérentes »,souligne-t-il.Le RSSI ducantondu Jura suisse mise,lui aussi, sur le présentiel. « La sécurité,cela n’intéresse pas grand monde en

général. Pour sensibiliser les gens, il est donc indispensable que ce soit vivant,que ce soit un spectacle », explique-t-il.Le responsable concentre pourl’instantseseorts sur les salariés et lesmembresdu gouvernement duJura.Depuis 2008,les premiers peuvent s’inscrire à desséances d’information d’une demi-

journée ou d’une journée, où serontabordés les risques informatiques auquotidien, que ce soit au niveau du SI,des téléphones mobiles ou encore desréseaux sociaux. On y détaille les me-naces dans un environnement profes-sionnel, mais aussi dans la sphère pri-

vée. « Cela permet d’attirer plus de personnes, car celatouchebeaucoup plusà la vie courante. Et, indirectement, lesutilisateurs comprennent aussi ce qu’il

faut faire sur le lieu du travail », pour-

I

suitBrunoKerouanton, RSSI du cantondu Jura suisse. Le taux de participationreste, néanmoins, relativement faible:20 personnes par an s’inscrivent auxsessions de sensibilisation sur un totalde 1600 collaborateurs. « Le chef deservice doit donner son accord pour qu’une personne puisse participer à ces

séances qui impliquent forcément unebaissede productivité.C’est un problèmeRH que nous sommes en train de ré-soudre », précise le RSSI. Le taux departicipation n’est pas un problème, enrevanche,pourles membres du gouver-nement, très demandeurs de ce typed’information. Maisles décideursayantdes plannings trèschargés, la longueurdes présentations a été réduite à uneheure et demie et les séances program-mées à des périodes creuses du calen-drier politique.

Le recoursà l’e-learning,interactifet peucoûteuxMais le présentiel a aussi un granddéfaut: il coûte cher et ne permet pasde toucherfacilement un grand nombrede personnes, parfois disséminées surplusieurs sites et dans plusieurs pays.Des limites qui peuvent être dépasséesgrâce à l’e-learning dont l’impact psy-chologique est plus important qu’unesimple ache. Le groupe Daher a aussifait ce choix. « Il fallait sensibiliser prèsde 3000 personnes, mais nous ne pou-vions pasfairele tour detous les 70 sitesen France.Nous avions besoind’un outil

simple et accessible »,expliqueStéphaneJoguet. L’équipementier aéronautiques’est appuyésur le logiciel Sensiwave deConscioTechnologies pour élaborer etdiuser ses messages. Une dizaine dethématiques ont été dénies (environ-nement de travail, mot de passe, impri-mante, clésUSB, etc.), et pourchacune

d’entre elles, dessaynètes en 3Daccom-pagnées d’un quizz. Résultat: 1809inscrits et 1 074 participants réels.« C’est un taux relativement normal »,

précise Pierre-Luc Réfalo, consultantchez Hapsis, qui a accompagné legroupe Daher dans la mise en œuvre.Le budget globalpource projet a étéde40000 euros.Evidemment, tout ne s’est pas déroulésans douleur. La principale dicultétechnique a étéle manquede référentieldes identités, indispensable pour pou-

voircibler les diérentes populations etleuradresserun messageadapté.« Nous

avonsperdu un temps énormeà recons-tituer ce référentiel, en partie avec desmacros Excel. Un vrai casse-tête », pré-cise Pierre-Luc Réfalo. Côté organisa-tion, un écueila étéle manque d’impli-cation des managers, qui n’ont passusamment incité leurs collabora-teurs à utiliser le logiciel de sensibilisa-tion. Attentionaussi aux fausses bonnesidées, comme la formation virtuelle àla maison. Techniquement possible, cemode de connexion n’a pas été du goûtdes utilisateurs qui, visiblement, n’ontpas voulu « rapporter du travail à lamaison ». Il faut également souligner

C’ESTDIT

«Aborderles risquesinformatiquesde lavie privéepermet

égalementd’intéresserles collaborateurs.Sinon, personnenesedéplaceravolontairement. »

BrunoKerouanton,RSSI ducantonduJura suisse

D R

Iln’estpluspossibledeconstruireuneforteresseautourdenosSI.Lasolutionrésidedanslaformation

descollaborateurs.Depuis unan,

nousformonssystématiquement

toutnotrepersonnelà lasécurité,

sousl’anglecomportemental.

Celasefaitdemanièregénérique

deuxfoisparan,sousformede saynètesetdequizzenligne.Nousdemandons

à l’ensembledes collaborateurs

departiciper.50%d’entreeuxont

suivilaformationet30%sontallés

jusqu’aubout.

Pourlesmanagers,nousfaisonségalementdesformationsspécifiquesauxcontextesdenosclientsgrandscomptes.Noussommes

présentschezunevingtainedegrandes

entrepriseset nousdevonssuivreleurspolitiquesde sécurité.C’estle rôle

desmanagersdes’assurerque les

collaborateurs larespectentbien.

L’AVISDEL’EXPERT

FrançoisCharpe,DSIgroupe chezAltran

« Notre personnel est tenu derespecterlapolitique desécurité denosclients »

01H_2124_023_026_EXP1.indd 25 29/03/12 16:5



26

0 1 B U S I N E S S &

T E C H N O

I

5 / 0 4 / 2 0 1 2

I


r

EXPÉRIENCES

une évidence parfois sous-estimée :l’e-learning n’estunesolutionquepourlescollaborateurs connectésauSI. « Lesintérimaires, par exemple, doivent êtrecontactés directement », souligne Sté-phaneJoguet.Néanmoins,le RSSIresteglobalement satisfait de l’opération.L’enveloppe budgétaire est reconduitepour l’année prochaine.PourConscioTechnologies, l’avenirdela sensibilisation passe, évidemment,par l’e-learning. Commercialisé enmode Saas (Soware as a Service), lelogiciel Sensiwave est facturé 5000 eu-

ros par compte administrateur. A cela viennent s’ajouter environ 2000 eurosparanpour lecontenu (saynètes, quizz,

vidéos 3D). L’éditeur revendique à ce jour un cinquantaine de clients, prin-cipalement des grands comptes et desadministrations. « Développer uneculture de sécurité informatique, c’est un travail de longue haleine qui prend

plusieurs années, soutient Michel Gé-rard, PDGdel’éditeur. C’est impossibleà faire avec uniquement des séances en

présentiel. Il faut jouer sur tous les ta-bleaux. » C’est aussi l’avis de StéphaneJoguet, quiutilise l’e-learningpourune

sensibilisation demasse,mais privilégiele présentiel pour cibler certaines po-pulations, approfondir certaines thé-matiques ou apporter un angle d’ap-proche plus contextuel.Lancer des actions de sensibilisation,c’est bien. Encore faut-il vérier sonimpact réel. Pourtant, comment éva-luer le comportement des collabora-teurs et leur culture auniveausécuritéinformatique? Pour Pierre-LucRéfalod’Hapsis,la solution consiste à se doterd’indicateurs pour mesurer une pro-gression de la maturité à la suite d’unplan de sensibilisation. Il propose

d’évaluer, par simple observation oupar l’intermédiaire de QCM, l’impli-

cation du management, la sensibilitéaux risques SI, le nombre de collabo-rateurs formés, le nombre d’actions etles moyens mis en œuvre. Dans cetteperspective, l’e-learning et un outilidéal car il génère automatiquementtoute une batterie de chires: taux departicipation, assiduité, taux debonnesréponses dans les quizz, etc. LeMAEE,de son côté, a déployé un dispositif complet d’audits, menés plusieurs foispar an par lesresponsables internes oupar des organisations tierces (inspec-tion ministérielle, DCRI, Défense).MichelCazenavese eaussi beaucoup

aux retours directs, en discutant avecles collaborateurs ou en analysant lamanière dont i ls réagissent.

DesauditsquifavorisentlaprisedeconscienceUne autre façon d’évaluer le niveau dematurité passepar lesaudits comporte-mentaux, par exemple en analysant lasolidité des mots de passe sauvegardésdansla base dedonnées (enrécupérantdes résumés cryptographiques), ou enréalisant de fausses attaques (coups del où l’on demande login et mot de

passe, phishing par courriel). Si cesaudits ont un fort impact sur la prisede conscience des utilisateurs, il estimpératif de bien cadrer ce type d’ac-tions. « Il faut prévenir la direction gé-nérale et, éventuellement, les déléguéssyndicaux et les correspondants Cnil »,explique David Sanchez d’Université-Lexsi. Il est également préférable d’an-

noncer la couleur aux collaborateursan qu’ils ne sentent pas piégés. Eneet, dans une stratégie de responsa-bilisation, cela se révélerait contre-productif.M GILBERTKALLENBORN

I

D R

L’AVISDE L’EXPERT

GuillaumeLaudière,consultantsécurité

chezDevoteam

LeRSSIestengénérall’initiateurd’unplandesensibilisation.Mais

pour quela démarche réussisse, une

personnehautplacée doitvalider

toutes lesactionsmenées, qu’elleen

soitle sponsor. C’estt d’autantplus

importantque leRSSIs’appuiera sur

diversservicesinternes: formation,

RH, communication, équipede

publication.

Lecoûtd’unplandesensibilisationdépenddelatailledel’entrepriseetduniveaudeculturedesécurité. Celapeutvarier de30000 à plusieurs

centainesde milliersd’euros.Mais,

souvent, lesdépenses sontlimitées.

LesRSSIontdesbudgetspriorisés,

et la sensibilisation vienten dernier.

Lesactions entreprises restentdonc

assezsimples: sessions e-learning,

espace intranet,etc. Lemanque

detempsestaussi unfreinau

développement de la sensibilisation.

Luttercontreladivulgation2.0

K

s Lewebsocialfavoriseladivulgationd’informationsprofessionnelles,malveillante

ounon. Etcelapour plusieursraisons:

la compulsion, la banalisation

de l’information, lapertede loyauté

dessalariés, lemélangevie

privée-professionnelle.

s L’impactpourl’entrepriseestréel:atteinteà l’e-réputationou auxdroits

de propriétéintellectuelle,perte de

compétitivité, pertede clientèle, échec

dans lesnégociationscommerciales,etc.

s Ilfautredonnerdelavaleuràl’information: élaborer unepolitiqued’usage desmédiassociauxqui précise

les rôles et les responsabilités de

chacun; ajouter desclausesde

confidentialité auxcontratsde travail.

s Évaluerlecomportementdescollaborateursest indispensable,par exemple lorsdes entretiens

d’embaucheet d’évaluation.

Lesincidentssontanticipéspar lamise

enplaced’unecellule degestion des

risques rattachéeà laDG ou laDRH.

ÀSAVOIR

C’ESTDIT

«Nous allonsfournir une boîteà outils quipermettraà chaque

établissementde santédecréer des actionsdesensibilisation adaptéesà son contexte. »

FrançoisTesson, référent régionalsécuritédesSI,AGSPays-de-la-Loire

01H_2124_023_026_EXP1.indd 26 29/03/12 16:5

Documents

Former les salariés à la sécurité informatique est devenu une priorité