La sensibilisation est un processus qui s'inscrit dans le temps. Développer
la culture de la sécurité est une tâche de longue haleine. Le sujet couvre de
nombreux thèmes et il est donc difficile de les couvrir tous en une seule opération.
En outre, les thèmes doivent être actualisés. Il faut également varier les contenus,
les supports, créer de nouveaux événements, et maintenir à jour des indicateurs
qui peuvent être intégrés à un tableau de bord plus général.
Une campagne est en effet précédée et suivie d'évaluations, sur la base de critères.
Cette étape permet à la fois de juger de l'efficacité des démarches entreprises
et de préparer les prochaines actions en répondant véritables aux besoins des
collaborateurs et en couvrant les risques auxquels ils sont exposés.
"Les projets, petits et grands, intègrent de plus en plus la formalisation
du programme sous la forme d'un document de politique de sensibilisation qui
doit être validé par la direction. Quel est le message fort, qui en est le porteur, quelle planification ? Cette politique doit intégrer en amont les indicateurs
permettant de mesurer que le développement de la culture prend et apporte des
résultats. C'est souvent la première attente des Comités de Direction qui, s'ils
comprennent l'importance de l'action, souhaitent qu'on puisse mesurer qu'elle
donne des résultats", clarifie Pierre-Luc Réfalo.
|
|
Statistiques des quiz de l'application Secureman
|
|
Hapsis Education intègre ainsi à ses missions l'évaluation de 3 indicateurs
de maturité sur le facteur humain. Les indicateurs se répartissent précisément
en deux catégories : quantitatifs (volumes, coûts en jours/homme, taux de bonnes/mauvaises
réponses aux quiz, etc.) et qualitatifs (nombre de portables disparus, attaques
virales, appels au helpdesk pour blocage de mot de passe, etc).
Paul Grassart ajoute, "j'utilise des questionnaires d'attitudes qui consiste
à mesurer les connaissances des personnes, à évaluer le ressenti émotionnel et
les comportements qu'elles se proposent d'adopter vis-à-vis de la sécurité. Il
faut néanmoins rester conscient du fait que ce n'est pas parce qu'elles pensent
les adopter que cela se concrétisera dans les faits."
Les indicateurs seront déterminés préalablement à la campagne de sensibilisation
pour coller aux spécificités de l'entreprise. Ils serviront ainsi de base de référence
pour mesurer l'évolution des comportements des populations de l'entreprise sensibilisés.
Suite à une campagne sur le thème des mots de passe, l'évaluation pourra consister
à l'usage d'un outil d'analyse de la robustesse des identifiants comme John
the ripper.