Comment les entreprises peuvent-elles profiter de la médiatisation des cyberattaques pour transformer leurs approches de la sécurité vis-à-vis des collaborateurs ? Tour d’horizon sous l’angle de la sensibilisation et des formations.

>> Cet article est extrait du hors-série « Le Numérique en Pratique », la sécurité téléchargez-le !

L’année 2017 restera pour beaucoup de responsables de la sécurité comme celle où la prise de conscience de leur direction aura été facilitée grâce à l’extrême médiatisation d’attaques comme WannaCry et NotPetya. Même en dehors des comex, les campagnes de sensibilisations à la cybersécurité des entreprises s’en sont souvent trouvées facilités.

Elles restent cependant encore insuffisantes pour permettre l’avènement d’une véritable culture de la sécurité numérique capable d’accompagner la transformation des activités et des modes de travail. Les responsables de la sécurité veulent donc aller plus loin.

Responsabiliser pour avoir des « acteurs de la sécurité » dans l’entreprise

« Nous avons chez M6 une culture de l’immédiateté qui est la réponse aux enjeux de disponibilité 24/7 de notre activité. Dans ce cadre, nous avons une attention particulière portée au sujet sécurité, car l’enjeu d’image et de réputation est colossal. Or, comme toutes les entreprises nous subissons de plus en plus d’attaques. Il y a un certain temps, il s’agissait de déni de services, aujourd’hui nous sommes exposés à beaucoup de phishing, de plus en plus précis et ciblé. Le rôle de nos collaborateurs est donc devenu primordial » témoigne David Di Mascio, DSI adjoint chez M6. Le groupe audiovisuel est d’autant plus attentif au sujet culturel, qu’il met en œuvre depuis plusieurs mois le rapprochement effectifs avec les équipes de RTL, racheté en octobre 2017. L’organisation en place est jugée efficace, mais ne peut avoir réponse à tout, quand les collaborateurs sont de plus en plus visés. « Notre RSSI est rattaché à la Direction des risques, ce qui lui assure d’avoir un regard neutre sur ce que nous mettons en place. Il a pu poser un cadre, mais le collaborateur doit aujourd’hui être un contributeur actif à notre sécurité. D’autant plus qu’il est très exposé sur ses propres usages privés au quotidien ! » précise ainsi le DSI.

Dans cette logique, les techniques de sensibilisations classiques ne sont bien évidemment pas amenées à disparaître, mais les responsables sécurité veulent également impulser une nouvelle dynamique. Nicolas Vieilliard, RSSI NewCorp chez Engie explique : « L’objectif principal a été de changer le message stigmatisant que l’on entend encore beaucoup et qui fait que la « faille se situe entre le clavier et la chaise ». Si l’on veut faire de tous les collaborateurs, jusqu’aux dirigeants eux-mêmes, des acteurs de la sécurité, il faut au contraire qu’ils se voient comme le dernier rempart ». Il pousse donc à actionner de nouveaux leviers : « Il faut continuer à faire des sessions en e-learning et présentiel, mais il faut également trouver de nouveaux axes de responsabilisation – au-delà de la sensibilisation. Nous avons par exemple fait une campagne « Votre sécurité à la maison » car une personne qui apprend à ne pas prendre des risques pour ses usages personnels aura ce réflexe dans l’entreprise ». Cette vision élargie de la sécurité implique que les équipes sachent se rendre disponible pour gérer des problématiques personnelles, a minima par des conseils. A l’heure où les accès à distance aux environnements professionnels, depuis un ordinateur ou un smartphone personnel se multiplient, l’investissement en temps ne parait pas disproportionné. « Il est inacceptable en 2018 qu’une entreprise sépare la sphère de sécurité personnelle et professionnelle. Cela ne tient plus » tranche Nicolas Vieillard.

En termes d’action simple à mettre en place, il prend l’exemple d’une opération menée de façon pragmatique : une vente privée de la suite de sécurité de l’éditeur d’origine slovaque Eset auprès des collaborateurs pour leur usage particulier. « Cela a été réglé en deux jours avec un éditeur pragmatique. Il n’était pas question de volumes de vente ou d’engagement commercial : seulement de faciliter la vie des personnes qui travaillent chez Engie. Les gens étaient contents et cela leur a fait se poser des questions et échanger avec nous » décrit le RSSI NewCorp d’Engie. Une offre similaire a été montée autour d’un VPN.

Qu’est-ce qui fonctionne le mieux pour sensibiliser ?

Malgré tout, le sujet de la cybersécurité reste perçu comme technique – et il peut l’être par certains aspects. Il est donc primordial de parvenir à créer un engagement et un cercle vertueux vis-à-vis des collaborateurs, dès les premières démarches de sensibilisation. « Chaque secteur est différent, mais le point commun est qu’il est facile de perdre beaucoup de temps et d’énergie sans faire qu’une opération de sensibilisation ou une formation soit au final efficace » met en garde Frans Imbert-Vier. Le fondateur du cabinet de conseil suisse Ubcom, spécialisé dans la protection du secret et la cybersécurité, a été DSI pendant 20 ans. Il garde de son expérience 3 règles clés : « Evitez les offres purement académiques. Ne soyez pas consensuels : vous devez pousser des challenges qui donnent envie de s’engager. Soyez disruptifs sur la forme et le fond : chaque sensibilisation, chaque formation doit être un évènement à part entière et « marketé » en tant que tel ». Ramené à l’éducation en général, les pratiques sont donc pour lui à aller chercher du côté de la pédagogie Montesorri plutôt que de l’Education nationale.

Nicolas Vieillard juge pour sa part que beaucoup de petits détails peuvent transformer l’expérience du collaborateur. « Il suffit parfois de mettre un easter egg dans une application, avec un petit cadeau à la clé, pour créer une forte dynamique d’engagement et un effet intéressant de bouche à oreille ». Si les opérations bénéficient toujours d’un petit coup de boost ludique, il est plus mesuré sur les formats serious game. « C’est souvent le pire des deux mondes : les vrais geek parmi vos collaborateurs seront atterrés par la qualité, par rapport aux jeux dont ils ont l’habitude, et de leur côté les non-geek n’ont pas envie de passer encore plus de temps devant un écran ! ».

La recette du succès tient souvent à une capacité de renouvellement, surtout alors que plus les responsabilités augmentent moins le temps d’attention sera long sur le sujet. « Vous voulez convaincre un C-Level de montrer l’exemple ? Vous avez moins de vingt-minutes en tout et pour tout » illustre Frans Imbert-Vier. Il faut capter par l’originalité. Multiplier les vecteurs de messages est donc efficace. « Nous poussons de moins en moins d’e-mail, tout le monde en a trop dans sa boite. Un tutoriel très pragmatique d’une minute en vidéo est souvent beaucoup plus efficace » admet Nicolas Vieillard. Pour lui, le présentiel reste clé même si ce n’est que durant une vingtaine de minutes de temps en temps. Cela permet « d’incarner la sécurité » et de faire passer deux messages : « nous réussissons grâce à vous » et « remontez tous vos problèmes ! ». Sur ce dernier point, parfois, offrir une simple boite de chocolat permet d’humaniser et de valoriser les bonnes initiatives et la proactivité.

Chez M6, le sentiment de devoir faire mieux et différemment est aussi bien présent : « La sensibilisation classique a eu lieu : à partir d’un certain moment, les efforts supplémentaires sur les messages généralistes ne vont pas changer la donne. Alors que l’IT se rapproche de plus en plus de l’utilisateur, il faut qu’on puisse coller au plus près de problématiques individuelles. Nos enjeux sont donc dans la personnalisation des messages, des pratiques. C’est une bonne chose que les équipes marketing dans l’audiovisuel aient une forte expertise sur ces enjeux d’hyperpersonnalisation ! » explique David Di Mascio. Un parti pris encouragé par Nicolas Vieillard, chez Engie : « Quand on peut s’appuyer sur l’interne, il faut le faire ! C’est très engageant pour les collaborateurs de participer à la création d’une vidéo, d’une animation ou d’un atelier quand ils aiment déjà cela ». Après tout, quoi de mieux pour créer des individus acteurs que de s’appuyer sur leurs passions et talents individuels ?

Au-delà de la sensibilisation, qu’en est-il des formations ?

La question du « faire en interne » pose en filigrane celle des formations packagées qui existent toutes prêtes sur le marché. En 2018, malgré la croissance du secteur, celles qui vont plus loin que la sensibilisation pour toucher à une vraie montée en compétence, restent rares pour les non-spécialistes. « Beaucoup de formations existent sur la sureté et sur la sécurité du système d’information, mais on ne trouve pas beaucoup d’exemples qui amènent la cybersécurité dans des métiers qui ne baignent déjà pas dedans » récapitule Jean-Christophe Chamayou, fondateur du cabinet Lafayette Associés, spécialiste de la formation professionnelle. Il épingle le « bricolage » de nombreux spécialistes de la sécurité sur des sujets de formations, et regrette l’absence de tout label qui permettrait de séparer le bon grain de l’ivraie.

En l’occurrence, les entreprises sont donc encouragées à prendre leur destin en main. Quelques bonnes idées sont à aller chercher auprès de certaines filières – pas forcément celles qui vivent du numérique – qui se sont lancées. « La branche métallurgie est la seule pour le moment à avoir prévu des blocs de compétences cybersécurité dans son certificat de qualification professionnelle, et inscrites au répertoire national des certifications (RNCP). Un autre exemple inspirant est ce qui a été réalisé par l’organisation européenne pour l’équipement de l’aviation civile (Eurocae), avec une formation ouverte à tous mais très axée sur les spécificités métiers » détaille Jean-Christophe Chamayou. Quelles que soient les évolutions prochaines du secteur, le spécialiste appelle cependant à faire attention : « il faudra s’assurer d’être dans des dispositifs de monter en compétences capables de suivre le rythme d’innovation : agiles, avec des rafraichissements permanents. Il faudra aller plus loin que les simples habilitations si on veut dépasser la sensibilisation déjà réalisé, pour aller vers des dispositifs véritablement normés. »

Chez Engie, Nicolas Vieillard trouve les offres compliquées et souvent peu adaptées. « On ne retiendra cette option que sur des sujets d’avenir très spécifiques, au périmètre bien défini et souvent technique, notamment autour de l’Internet des Objets » évoque-t-il. Du côté de M6, le sujet est renvoyé plus généralement à celui des formations techniques des experts IT. La montée en compétences des non-spécialistes pourraient alors venir par ruissellement : « Nous avons mené de gros efforts de formation pour maintenir le niveau de pertinence technique de nos équipes. Mais nous avons aussi contribué à une montée en compétence, en « culture numérique » pour tous, en mettant en place de la colocalisation entre les équipes techniques et métiers. ». Une démarche qui s’inspire effectivement de ce que les entreprises mettent en place dans des optiques d’innovation technologique agile, cette fois-ci au service de la floraison plus naturelle d’une culture sécurité.