45) Faire des campagnes de sensibilisation généralistes et englobant
toute la population de l'entreprise. Des mails de bonnes pratiques sont souvent
expédiés à l'ensemble des salariés. Cette approche conduit nombre d'entre eux
à ne pas se sentir concernés et ne produit par conséquent que peu d'effet. Il
est bien plus efficace de définir un pôle ou une fonction cible et de lui adresser
des recommandations directement liées à son métier.
46) En formation, appuyer sur les contraintes apportées aux utilisateurs
plutôt que sur les risques encourus et les conséquences d'une non prise en compte.
L'écueil est de rebuter tout de suite et de ne générer aucune prise de conscience
des utilisateurs quant aux risques adressés par le projet sécurité.
47) Effrayer les salariés avec une charte d'utilisation. Il faut pouvoir
trouver un juste milieu pour informer, sensibiliser les utilisateurs tout en mentionnant
les différentes dispositions nécessaires. Avant d'imposer une charte lourde, il
faudra avant tout procéder à des opérations de sensibilisation.
48) Lorsqu'on est décideur informatique ou RSSI : ne former que les
autres.
