Cinq méthodes pour sensibiliser vos salariés à la sécurité

[GUIDE PRATIQUE] Servez-vous de l’affichage, de tests en ligne, de jeux vidéo, d’ateliers et de mises en situation pour parer à la négligence de vos collaborateurs.

Par Matthieu Bennasar, manager pôle conseil chez Lexsi (sécurité IT)

Mot de passe sur un Post-it visible de tous, courriel ouvert alors qu’il contenait un virus… L’imprudence est la première cause des problèmes de sécurité informatique. Et elle peut coûter cher à votre société : vol d’informations au profit de la concurrence, défaillance du système pénalisant votre activité, détournement de votre marque… Sans compter l’utilisation de vos ressources informatiques pour mener une cyberattaque qui exposera votre responsabilité.

Chaque salarié est lui-même susceptible d’être victime d’une escroquerie en ligne visant à vider son compte ou à voler ses identifiants numériques. Le danger est d’autant plus grand que des outils automatiques permettent désormais à n’importe qui de pirater. Sous prétexte qu’ils servent aussi bien à se protéger qu’à attaquer, ils sont disponibles sur des sites ou des forums de hackers référencés par Google. Pour forcer la prise de conscience de vos collaborateurs, investissez dans des campagnes pédagogiques. Les cinq méthodes suivantes peuvent être adoptées indépendamment les unes des autres.

1. Associez la direction générale à vos messages

La méthode de sensibilisation la plus facile à mettre en œuvre consiste à communiquer les bonnes pratiques de sécurité informatique par courriel ou affichage mural, voire sur le réseau social interne. Mais pour capter l’attention de vos employés et marquer les esprits, vous devrez forcer le trait : demandez à votre directeur général que ce soit lui qui envoie l’e-mail contenant les règles, qui les publie sur le réseau social et qui signe au bas de votre affichage.

Soignez la forme. Votre message doit répondre aux mêmes exigences qu’une affiche publicitaire : texte court, clair et immédiatement compréhensible. Ajoutez une identité visuelle, comme un cadenas sur un écran ou le dessin stylisé d’une carte de crédit qui change de couleur au gré des situations. Entretenez votre message d’avertissement ponctuel : trop galvaudé, il passera inaperçu.

Mieux que le courriel, vous listerez dans une newsletter mensuelle les actualités marquantes du mois en termes de sécurité, à piocher par exemple sur Undernews.fr. Vous y présenterez une astuce de sécurité par mois. Vous la trouverez dans la pléthore des sites remontés par Google lorsque vous taperez “ astuces sécurité informatique ”. Citons www.01net.com/astuces/securite/. Youtube regorge aussi d’astuces en vidéo : par exemple, la rubrique dédiée à la sécurité informatique de la chaîne Formation facile. Communiquez donc un lien vers l’une de ces vidéos dans chaque édition de votre newsletter en expliquant de quoi il retourne en deux ou trois phrases.

Les points à évoquer sont le verrouillage du poste de travail pour empêcher qu’un tiers n’y accède, le danger de connecter des équipements personnels au réseau de l’entreprise, le secret des mots de passe, le danger des pièces jointes dans les courriels, ainsi que les conséquences des e-mails frauduleux. Chaque fois, expliquez de quoi il s’agit, comment identifier le risque et ce qu’il faut faire pour s’en protéger.

Publiez ensuite votre cours sur Internet. Par exemple depuis le site Slideshare.com. La diffusion d’un seul document est gratuite. Moyennant 19 euros par mois, vous en ajouterez autant que vous le souhaitez en ligne, et vous bénéficierez d’outils pour suivre l’assiduité de vos utilisateurs ou recueillir leurs appréciations. Créez un compte sur Slideshare.com, puis cliquez sur Importer et copiez-collez le lien de votre document pour le transmettre à vos collaborateurs. Après l’avoir envoyé par courriel, inscrivez l’adresse URL de votre cours sur vos affiches de sensibilisation.

Mais le cours magistral n’est qu’un support. Votre but est surtout d’exercer vos utilisateurs à respecter les règles de sécurité. Mettez donc en place un quiz, un QCM qui reprendra, question après question, chacun des points de vos règles de sécurité. Plusieurs services sont disponibles gratuitement sur le Net pour concevoir vos propres questionnaires.

Parmi eux, www.Quizz.biz permet de réaliser des questionnaires illustrés et les intègre au site Web de votre société. Mais cette solution ne vous communiquant pas de résultats nominatifs, vous devrez convoquer vos employés pour qu’ils passent les tests individuellement. Pour valider le fait que votre cours a été assimilé, chacun d’eux devra obtenir au moins 75 % de bonnes réponses. En cas d’échec, proposez une session de rattrapage. Au bout de trois échecs, coupez l’accès réseau du salarié.

En France, plusieurs studios de développement se sont spécialisés dans ce concept appelé serious gaming : KTM Advance, Serious Factory, Interaction Games, Koveo, Solar Games, Digiworks, Just In Role et Daesign (auteur notamment de jeux pour Renault, BNP Paribas, Michelin…). Ces studios vous proposent de personnaliser des produits déjà existants dans leur catalogue. Pour un jeu d’une heure comprenant six modules, il faut compter plus ou moins 50 000 euros. Votre jeu est plus efficace s’il prend place dans une version 3D de vos locaux, mais cet attrait a un prix qui s’élève à 40 000 euros supplémentaires.

Les serious games adoptent souvent le principe du jeu vidéo d’aventure, dit “ point and click ” (pointer avec la souris et cliquer), et commencent en général par une cinématique en 3D qui plante le décor du scénario global. Pour un maximum d’efficacité, il est de bon ton d’avoir une telle animation au début de chacun des modules ? ou des niveaux, puisque nous sommes dans un jeu ? pour présenter le principe de la nouvelle mission. A la fin du jeu, on trouve un questionnaire qui mesure en un temps limité les compétences assimilées.

4. Faites témoigner des experts

Il s’agit ici d’organiser des ateliers de sensibilisation. Invitez un intervenant externe à l’entreprise pour présenter un show d’une heure sur son expérience et ses mésaventures avec la sécurité informatique. Si vous vous montrez suffisamment motivé, vous pourrez obtenir la visite gratuite d’un expert de la Direction centrale du renseignement intérieur (DCRI), ou de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Un consultant privé facture, quant à lui, environ 1 000 euros pour une présentation générique. A ce prix, il restera la journée pour répondre à vos collaborateurs par groupes successifs de 10 à 20 personnes. Pour une prestation personnalisée, adaptée aux conditions de travail de vos salariés et à vos enjeux, comptez 3 500 euros et trois jours de réunion préparatoire. Le clou du spectacle ? Une démonstration d’attaque effectuée par l’expert dans une situation connue de vos employés.

5. Mettez vos collaborateurs à l’épreuve

Afin de valider l’efficacité de votre campagne de sensibilisation, vous allez piéger vos salariés. Pour cela, déposez, par exemple, négligemment dans les salles de repos, les couloirs ou les parkings une clé USB. Pour que vos collaborateurs ne résistent pas à l’envie de s’en emparer, soignez votre appât en utilisant une clé USB de grande capacité, par exemple de 128 gigaoctets (environ 80 euros). Dessus, enregistrez un fichier au nom aussi évocateur que “ salaires.doc ”. Il s’agira en l’occurrence d’un fichier Word dans lequel vous aurez copié-collé le lien vers une page invisible de votre site Web.

Si l’utilisateur clique sur ce lien, parce que vous aurez inséré juste avant une phrase du style “ Monsieur le directeur, veuillez trouver ci-dessous le lien vers la page qui référence tous les salaires de l’entreprise ”, son navigateur ouvrira la page en question et son adresse IP s’inscrira dans les relevés d’activité de votre site Web. Relevés qu’il suffira ensuit de lire pour savoir quel poste de l’entreprise a commis l’imprudence d’utiliser la clé USB.

L’opération nécessite la complicité de l’informaticien en charge du site Internet, qui bâtira pour vous la page fantôme et vous fournira le relevé des connexions. Idéalement, il programmera cette page fantôme pour qu’elle affiche le nom de l’employé imprudent (d’après son adresse IP), suivi de “ Vous avez été piégé ”. Cette ruse, inoffensive, montre qu’un salarié aurait pu introduire involontairement de la même manière un virus sur le réseau. Les cabinets de conseil en sécurité vendent, pour environ 5 000 euros, des clés USB et des plates-formes de suivi des connexions plus élaborées que cette simple astuce.

Ce guet-apens est déclinable en campagne de phishing, c’est-à-dire en envoyant aux salariés des courriels maquillés aux couleurs de leur banque les incitant à cliquer pour entrer des informations secrètes. Avec toujours pour but d’arriver sur la page révélant le piège sur votre site Internet. Bien sûr, l’e-mail ne sera pas expédié depuis une adresse de l’entreprise : créez une adresse anonyme sur Gmail. Là aussi, des prestations clés en main existent. Pour une seule campagne, il vous en coûtera 3 500 euros sur le service en ligne Phishme.com. Comptez 35 000 euros pour un nombre de campagnes illimité sur un an.

A l’issue de ces tests, vous pourrez révéler via votre newsletter mensuelle l’existence de ces pièges et indiquerez que des salariés ont été pris la main dans le sac. Vos collaborateurs seront ainsi incités à plus de prudence. Mais n’enlevez pas pour autant vos pièges. Avec l’accord de la direction, prévenez vos employés qu’en cas de récidive, ils devront repasser par la case “ formation et test des connaissances ”.

Pour terminer, sachez que le “ jeu des croissants ” fonctionne aussi très bien pour inciter à la vigilance. Son concept est assez simple : lorsqu’un collaborateur s’absente de son poste, ses collègues vérifient qu’il a pensé à verrouiller son écran. Si ce n’est pas le cas, on se sert de son PC pour envoyer à tout l’étage un message intitulé “ Demain j’apporte les croissants ”. En général, un salarié n’est piégé qu’une seule fois !