Sensibilisation : Non, le problème n’est pas entre la chaise et le clavier !

Gouvernance Risques et Conformité
Sensibilisation : Non, le problème n’est pas entre la chaise et le clavier !

La sensibilisation des utilisateurs est un des piliers de la sécurité. A l’opposé des mesures techniques, elle met un coup de projecteur sur la démarche de sécurité, et permet d’impliquer les utilisateurs à travers des enjeux communs. De plus, elle est un prétexte idéal pour nouer un dialogue entre l’IT et le métier. Cependant, la démarche se heurte fréquemment à plusieurs difficultés, que nous allons tenter de débusquer.

Mais avant tout, voici une anecdote qui permet d’éclairer le contexte des actions de sensibilisation. Ce contexte, c’est l’incompréhension qui règne entre le monde de l'IT et les utilisateurs. En voici une illustration : un responsable d'une grande organisation, habitué à travailler depuis son domicile, prête son pc portable professionnel à sa fille (oui, ça part mal...). Souhaitant y installer un jeu vidéo, celle-ci infecte le poste, qui devient inutilisable. Le responsable contacte la DSI pour désinfecter le poste, mais au cours des opérations, tout le travail en cours est supprimé.

Au bilan, le manager considère la DSI responsable, car incapable de protéger contre les virus, et coupable d’avoir supprimé de précieux documents. La DSI se dit que le manager a tout faux, qu’on ne doit pas prêter son pc à n’importe qui, et que les documents importants devraient être sauvegardés sur le réseau.

Finalement, deux visions s'opposent :

  • "Le problème se trouve entre la chaise et le clavier" (IT)
  • "Si t'as besoin de rien, appelle le support" (métier)

L'incompréhension entre ces deux mondes vire parfois à la défiance : "la DSI veut contrôler mon travail, me surveiller". Et ceci affecte nécessairement toute tentative de communication. Dans ce contexte, mener des actions de sensibilisation se révèle complexe. C’est pourquoi il faut soigner la forme, et se poser les bonnes questions.

Tentons ensemble de comprendre les principaux écueils de la sensibilisation, au travers de cas réels.

1. Est-ce que la sensibilisation est un bon choix ?

Lorsqu'une entreprise sollicite Advens, pour construire et animer un programme de sensibilisation, il nous appartient de bien comprendre les intentions. Car bien souvent, ce qui est perçu comme un besoin de sensibilisation révèle avant tout un manque dans la panoplie des outils de sécurité du RSSI.

En effet, la plupart des besoins de sensibilisation remontés proviennent d'organisations qui souhaitent traiter une ou deux problématiques de sécurité particulières. Comme le RSSI tient plutôt les ficelles des solutions techniques, d'autres solutions de sécurité "sur étagère" ou de processus ont déjà été envisagées, mais abandonnées (trop cher, trop complexe, trop long, pas dans les mœurs…). Alors, il se tourne par défaut vers la sensibilisation.

Pour rationaliser ce choix, le RSSI se convainc que s'il sensibilise les utilisateurs, alors, il aura l'assurance contre tous les risques d'origine humaine interne… C'est faux : même les utilisateurs les plus "aware" feront toujours des erreurs, et la malveillance interne ne sera pas stoppée pour autant. Il faut donc des mesures techniques et organisationnelles adaptées en complément. La sensibilisation est indispensable pour prévenir certains risques, comme l'usage personnel du SI, l'ingénierie sociale… mais elle n'est pas un rempart magique.

De plus, il faut comprendre que la sensibilisation ne pourra pas être le garant de la sécurité dans l'entreprise, car les utilisateurs ne seront jamais des experts en sécurité. C'est pour cela qu'il est préférable de se focaliser sur 3 à 5 sujets importants. Si le RSSI a identifié 150 sujets à aborder au cours d'une campagne de sensibilisation, alors il fait fausse route. Les utilisateurs seront noyés par la masse d'information.

En bref, retenons que la sensibilisation ne pourra jamais suppléer les mesures techniques et organisationnelles.

2. Est-ce que je traite les utilisateurs en adultes ?

Trop souvent, la démarche de sensibilisation part du principe que les utilisateurs ne sont pas responsables : "nuls en informatique", inconséquents... Loin d'être un jugement du RSSI sur les métiers, il s'agit parfois d'un jugement global issu de la culture de l'entreprise : il n'est simplement pas question de faire confiance aux utilisateurs quand il s'agit d'informatique. Cette attitude est même justifiée par de bons sentiments : les agents ont autre chose à faire, on pense à leur place pour les aider…

Partie de ce principe, toute la démarche de sensibilisation est basée sur une inculcation très infantilisante des principes de sécurité : il faut changer son mot de passe ("c'est comme une brosse à dents"), il ne faut pas aller sur Facebook…

Or le principe de la sensibilisation est de faire prendre conscience. Il est fondamental d'associer la bonne pratique et le risque, sinon celle-ci n’est pas intégrée. Dans l'exemple du mot de passe et de la brosse à dents, beaucoup de personnes ne perçoivent pas l'importance du changement de mot de passe. L’humour est une bonne méthode pour faire passer un message, mais il ne doit pas lui faire perdre son sens.

Face à des messages infantilisants, les utilisateurs auront une tendance naturelle à se positionner en tant qu'enfants. Il en résultera des comportements à l'encontre de l'effet désiré :

  • Rejet de la responsabilité : "Un outil filtre les emails dangereux, donc je fais confiance à tous les messages que je reçois"
  • Passivité : "l'informatique, c'est compliqué, donc je ne prends pas d'initiative"
  • Défiance : "l'outil de filtrage web sert à mesurer ma productivité".

A cela sont préférables les messages misant sur la réflexion et le recul des personnes : « Avant de cliquer, je réfléchis ». Cela suppose d'accepter de compter sur la vigilance et le bon sens des utilisateurs !

3. Comment traiter les sujets tabous ?

Idéalement, le parcours type du nouvel embauché/stagiaire passe par la case sensibilisation. Il s'agit par exemple d'une séance "comme à l'école". On rassemble les 10 derniers arrivés dans une salle, et on les forme aux risques et bonnes pratiques. Cela dure 1 à 2h, avec l'appui d'une présentation Powerpoint. A la sortie, chacun jure sur la Sainte Charte qu'il ne sera pas le maillon faible de la sécurité.

Sept jours plus tard, le RSSI prend en flagrant délit le stagiaire, qui s'applique en dessinant les lettres de son mot de passe sur le paperboard du bureau, à la suite des mots de passe de ses nouveaux collègues.

Qu'est-ce qui peut changer un comportement en si peu de temps ? C'est simple. Le nouveau collaborateur cherche avant tout à s'intégrer au groupe. C'est, pour lui, une chose bien plus importante que la sécurité. Si ses collègues ont de mauvaises habitudes, alors la personne reproduira leurs comportements. Il faut attaquer la mauvaise pratique là où elle se situe : c'est-à-dire au sein des équipes !

Modifier un comportement au sein d’un groupe est complexe, mais plusieurs leviers existent, en particulier : organiser des séances de sensibilisation avec une équipe au complet, et surtout, lever les tabous :

  • Je peux avoir confiance en mes collègues et ne pas fournir mon mot de passe
  • Tout ce qui est possible n’est pas autorisé
  • Je suis tenu responsable de mes actes
  • Etc.

Cet exercice est plus complexe, car les anciens de l'entreprise savent confronter les mesures de sécurité aux réalités du métier. Par exemple : "Je note mon mot de passe car, j'ai 10 mots de passe à retenir !". Le RSSI doit être prêt à entendre et apporter des solutions. A cette fin, il est utile de bien préparer l'intervention, par exemple en la testant sur des personnes volontaires, qui sont généralement bienveillantes vis-à-vis de la problématique.

Ainsi les bonnes pratiques devraient être mieux intégrées par le groupe. Tout ne passera pas, mais les mesures complexes à respecter pourront être clairement identifiées.

Conclusion

L’erreur n°1 d’une démarche de sensibilisation est le postulat que l’utilisateur est le problème. Dans ce cas, les messages seront toujours mal formulés, mal reçus et donc inefficaces. Au contraire, afin de diffuser la culture de la sécurité de façon pertinente, il est essentiel de partir du principe que l’utilisateur est un des leviers de la sécurité !

Pour s’adresser efficacement aux utilisateurs, il faut donc commencer par lutter contre un stéréotype bien ancré. Et comme cela n’est pas aisé, voici la synthèse des points clés sur lesquels être vigilant :

  • Mettre en places avant tout les bonnes pratiques sur les aspects techniques et processus, pour ne pas faire des utilisateurs le seul maillon de la sécurité.
  • Traiter les utilisateurs en adultes intelligents : ceux-ci ont un avis valable, des contraintes réelles et sont réceptifs à la sécurité.
  • Limiter le nombre de messages de sécurité aux utilisateurs
  • S'adresser aux groupes et aux leaders d'opinion
  • Oser parler de ce qui fâche.

Alors toutes les conditions devraient être réunies pour faire de l’utilisateur, non pas l’erreur entre la chaise et le clavier, mais un maillon solide dans la chaine de sécurité.

Pierre-Michel Calut, Consultant Sécurité, Advens