Comment réussir son programme de sensibilisation ?

Des processus et solutions techniques pour prévenir / réagir aux attaques sont souvent déjà disponibles dans les entreprises.
Cependant, malgré les attaques récentes, le volet utilisateur n’est que peu adressé.
Les utilisateurs sont un maillon faible !

Commencez par réaliser des tests de maturité (ingénierie sociale, quizz, …) pour évaluer les priorités.
Durant un programme de sensibilisation, il n’est pas toujours facile de faire passer durablement des messages, de plus ils sont rapidement oubliés, il faut donc être imaginatif et savoir se renouveler.

Voici quelques conseils !

1 – Choisissez bien votre sponsor

Un message du RSSI c’est bien, un message de la direction générale c’est mieux !

Choisissez donc bien votre sponsor, idéalement il s’agit d’une personne faisant autorité dans l’entreprise.
Elle pourrait par exemple intervenir en envoyant un email à l’ensemble du personnel ou au travers d’une vidéo.

Sans appui fort de la direction, seuls 20-30% des utilisateurs participeront aux sessions de sensibilisation.
Un sponsor de qualité vous aidera à augmenter l’audience.

2 – Adaptez les thématiques/messages aux populations ciblées

Bien qu’une majorité des messages soit commune à l’ensemble des populations, prévoyez des messages spécifiques afin de répondre aux risques encourus :

• VIP/Assistants (informations stratégiques, ingénierie sociale …)
• Direction financière (fraude au président, …)
• Managers (nouveaux arrivants, …)
• Développeurs (OWASP, …)
• Administrateurs (environnements, …)
• …

Adaptez-vous à leur contexte : Si les messages communiqués se rapprochent de ce à quoi les utilisateurs font face quotidiennement, même au niveau personnel, vous avez plus de chance de les intéresser.

Illustrez vos messages : Donnez des exemples propres à chaque population, les sources peuvent être externes, cependant si vous parvenez à avoir des exemples issus d’expériences/incidents internes, c’est encore mieux.

Vous aurez des résultats immédiatement, sous forme de questions !

3 – Avancez par étapes

Sensibilisez régulièrement, en faisant évoluer les messages.

Variez les messages :
Mettez à jour votre contenu aussi bien sur le fond que sur la forme, en faisant correspondre les thématiques/messages par exemple :
– aux derniers risques identifiés
– à l’actualité (dernières attaques recensées : en décrivant par exemple de bout en bout une attaque, du vecteur d’attaque jusqu’aux conséquences pour l’entreprise/les clients)
– aux informations transmises par vos utilisateurs, ambassadeurs

Multipliez les canaux de communication :
Certaines populations préfèrent les supports papiers, d’autres préféreront une application/serious game sur mobile…

Vous pouvez commencer par des affiches/Kakemono mais utilisez bien l’éventail de médias existant en sensibilisation afin de toucher toutes les générations.
Que ce soit les livrets d’accueil, bandes dessinées, sessions en présentiel, e-learning, vidéos, serious games, escape games, newsletter, intranet, démonstrations … variez vos canaux.
Il y a des avantages à utiliser chacun de ces canaux (facilité à capter l’attention, facilité à construire, à atteindre un grand nombre d’utilisateurs, ludique, …)

Pensez aussi à créer des événements autour d’un sujet spécifique (jeu concours, phishing/démonstrations d’attaques autour d’un petit déjeuner, entre midi et 14h)

4 – Bien choisir son moment & limiter la durée de vos interventions

Au sein d’une entreprise, vous avez déjà de nombreuses séances de sensibilisation/formation obligatoires, Les utilisateurs ont un temps limité pour être sensibilisés.
Sensibilisez-les périodiquement sur une courte durée plusieurs fois plutôt qu’une seule fois

Pour certains médias, 4*10 minutes sera plus efficace que 40 minutes !

5 – Faites de la publicité

Faites de la publicité autour de vos actions de sensibilisation, afin de capter l’attention de vos utilisateurs et de les surprendre.

Tous les moyens sont bons pour cela

• Teasing dans les lieux de passage (ascenseurs, cafétéria, sur l’intranet..)
• Evènements
• Annonces par des responsables
• Des goodies : mug, cache webcam, ..
• …

En bref :

Rendez vos sessions ludiques, amusantes et faites passer des messages simples, ciblés et à jour qui pourront aussi être utilisés dans la vie personnelle.

Vous cherchez à identifier le niveau de sensibilisation de vos employés ? De nouveaux canaux de sensibilisation ? N’hésitez pas à nous contacter !

Article rédigé par 

Laurent RIPOLL
Manager de l’offre Sensibilisation chez Formind