C’est comme faire offrir le petit déjeuner a un(e) collègue, en envoyant un email parce qu’il n’a pas verrouillé sa session, c’est devenu un sport de bureau, mais qu’en est-il de la perception du risque? Du vol de donnée(s) ? « Mais je ne me suis absenté(e) qu’une minute, tu n’aurais pas pu voler grand chose » ou le, « Non, mais je t’ai vu approcher du clavier ».

Pour qu’il y ait une vraie prise de conscience des employés, il est indispensable de faire des campagnes de communication et de sensibilisation régulières. Mais surtout de s’assurer que le message ne reste pas une consigne incomprise, en mettant en avant des exemples de cas concrets qui sont redoutés. Même sans entrer dans les détails, une démonstration de prise en main d’un poste, ou de déploiement d’un malware, peut permettre aux utilisateurs de mieux appréhender la menace et le risque qui en découle.

Au-delà de la prévention, prendre le temps de discuter avec un utilisateur dont le poste a été compromis, comprendre ce qu’il a fait, lui expliquer son erreur et ce qu’il s’est passé est, de ma propre expérience, réellement bénéfique. Expliquer plutôt que de stigmatiser, cela peut transformer un utilisateur imprudent en un ambassadeur de la sécurité auprès de ses collègues.

Une campagne de sensibilisation ne coûte qu’une fraction des sommes investies annuellement dans l’implémentation et le maintien en condition opérationnelle de vos outils de sécurité. Alors la prochaine fois que vos mécanismes de défenses seront mis à mal par un utilisateur inconscient de la menace, demandez-vous si vous avez investi correctement pour le sensibiliser.

Si le sujet vous intéresse, n’hésitez pas à nous contacter pour en discuter :
contact@idna.fr
aurore.malpel@idna.fr