Quelles sont vos démarches dans
le domaine de la sensibilisation ?
J'ai mené trois actions : l'envoi de mails réguliers pour reprendre, rabâcher
les thèmes classiques comme les mots de passe, mais aussi saisir à la volée les
actualités. Ces feuilles de sensibilisation sont réalisées chaque mois ou tous
les deux mois, et sont envoyées sur l'intranet. Dès le début, j'avais pris le
parti de créer une charte graphique pour la sécurité et de présenter les choses
avec humour.
C'est je pense relativement apprécié et évite d'aboutir
à un résultat trop rébarbatif. Je m'oblige pour cela à mettre une question percutante,
qui interpelle. Les titres sont notamment : avons-nous un comportement à risque
? Qui veut être un gagnant ? Le contenu n'est pas nécessairement clairement exposé
et cela contribue par conséquent à encourager la lecture.
|
|
Email de sensibilisation consacré aux mots de
passe, avec une partie résumé pour les "pressés",
et un second volet plus détaillé © Didier
Quincerot
|
|
Il y a 6-8 ans, j'avais commencé aussi à réaliser une présentation au siège et
sur une vingtaine de sites de province. C'était tout de même beaucoup de temps
perdu finalement avec des réunions qui duraient une heure. Nous avons donc évolué
vers la sensibilisation de type intranet avec Hapsis. Cela a été bien perçu, avec
des séances de quizz assez courtes de 15 à 30 minutes.
Quelles thématiques abordez-vous
?
La confidentialité, les mots de passe, protéger sa station, etc, et maintenant
la prudence à observer en naviguant sur internet. Il est indispensable que les
utilisateurs aient à l'esprit cette notion de confidentialité. Deuxième thème
sur lequel j'insistais auparavant, c'est la sécurité des données. Les sauvegardes
étaient en partie à la charge des utilisateurs. Désormais, les gestionnaires n'ont
plus à le faire puisque tout est centralisé au centre informatique d'Orléans.
Les consignes à respecter sont éditées dans une charte
informatique, mise à jour dernièrement. Y figurent les attitudes à tenir vis-à-vis
des autres, de la station de travail, d'Internet, etc.
Les salariés assimilent-ils bien
les bonnes pratiques ?
Les utilisateurs sont bien conscients des enjeux. J'en ai eu la preuve par la
campagne de sensibilisation menée avec Hapsis en 2007. Les résultats sont toutefois
un peu incohérents, en ce sens que la plupart des questions concernant l'ensemble
des utilisateurs, comme les mots de passe, la confidentialité, l'intégrité des
données, etc., ont obtenu des bonnes réponses.
Mais, par ailleurs, les contrôles d'application de la
politique SSI montrent qu'ils n'appliquent pas ce qu'ils savent. Une prise de
conscience n'est pas toujours suivie par l'adoption effective des bons comportements.
C'est cela qui est un peu difficile
"Les responsables et chefs de projet ne pensent
pas à la sécurité" |
De même dans les projets qui doivent intégrer les notions
de sécurité, des difficultés se posent. Les responsables et chefs de projet ne
pensent pas à la sécurité. Il a été pourtant démontré, et cela s'est vu chez SMABTP,
que si on doit reprendre la sécurité dans un deuxième temps, c'est à la fois plus
complexe et plus couteux.
Il y a quelques années, j'ai créé avec un prestataire
extérieur un guide de la sécurité qui recense étape par étape dans un projet,
les actions relatives à la sécurité. Le guide est une suite de questions,
de sujets, d'items rattachés à des phases du projet auxquels il faut répondre,
et spécifier comment le sujet sera traité (ou non). Cependant, cette
méthode n'est pas encore suffisamment appliquée.
C'est pour cette raison que nous avons prévu cette année
de dispenser une sensibilisation spécifique auprès des chefs de projets informatiques.