On Oz
Du collaborateur à l’individu… Comment la façon de sensibiliser et de former à la sécurité numérique a complètement muté ?
17/01/2018

Du collaborateur à l’individu… Comment la façon de sensibiliser et de former à la sécurité numérique a complètement muté ?

Il y a encore une dizaine d’années, former ses collaborateurs à la cybersécurité, revenait pour l’entreprise à faire une présentation Powerpoint des normes ISO 27001 et 27002. Cela a bien changé - fort heureusement - même si des efforts restent à faire, surtout pour l’éducation du grand public, à commencer par les plus jeunes.

Le paysage de la formation s’est considérablement étendu et étoffé, alors que celui de la sensibilisation a littéralement émergé, avec des contenus plus adaptés, sous des registres plus légers voire ludiques et très diverses, puisque sans qu’il n’y ait aucune agrégation de contenus à l’heure actuelle, on trouve des sources tant livresques, vidéos, qu’infographiques. Ces dernières années ont vu dans quelques grandes entreprises françaises des ouvertures de poste dédiées à la sensibilisation interne des collaborateurs. Ces personnes à la manœuvre ont développé des stratégies pluridisciplinaires, en s’intéressant tant à la pertinence des contenus, à la façon de les dispenser, qu’à leur marketing et aux leviers mentaux nécessaires pour engager les intéressées, tant la matière est par essence anxiogène et difficile à rendre attractive.

Le présentiel reste évidemment la méthode la plus efficiente. Mais pour sensibiliser, la recette unique n’existe pas, car tous les cerveaux raisonnent, mémorisent ou réagissent différemment. Grâce aux technologies et pour être au plus près de chaque typologie de cibles, ce sont bien d’autres façons de convaincre qui ont été permises, à l’instar de sessions de e-learning, de serious games et autres MOOC. Le plus marquant restant celui de l’ANSSI, en lice d’ailleurs au concours du meilleur MOOC de l’année 2017.

Malheureusement, cette implication n’est pas commune à toutes les entreprises, qui ont parfois bien du mal à s’y mettre et à décliner ses bonnes pratiques depuis le haut de la hiérarchie jusqu’à tous les collaborateurs. C’était sans compter les dernières attaques de masse très médiatisées notamment ces 3 dernières années. Elles ont déclenché une vague de prise de conscience de la part des dirigeants d’entreprises, groupes comme PME, et notamment les interrogations sur leur part de responsabilité en cas d’incident et niveau réel de protection. La médiatisation de certains témoignages de victimes françaises comme celui du patron de TV5 monde ou du gérant de l’entreprise de service Clermont Pièces y sont surement pour quelque chose.

Cette implication - certes un peu contrainte et forcée des dirigeants et des métiers est concomitante d’une autre tendance à noter : celle de la prise de conscience cette fois, des experts de la cybersécurité, d’avoir surévalué le niveau de connaissances des citoyens et des salariés, non seulement à la sécurité mais avant tout et simplement à la chose informatique, s’expliquant davantage par une incompréhension de l’univers et de son jargon plus que un manque d’intérêt réel. Longtemps domaine réservé du geek qui ne laisse personne approcher ses joujoux informatiques, comme un Chef n’accepte aucun intrus dans sa cuisine, cette prise de conscience a fait sauter un verrou et a permis au marché de comprendre l’importance de l’entraînement, de l’intégration par l’exemple, de décortiquer l’informatique et les attaques, en somme de faire de la pédagogie et ainsi, développer des offres de training concrets.

Institutionnellement, si les OIV et administrations ont été les premiers à bénéficier de référentiels pour se sécuriser, car il fallait bien parer au plus urgent, le grand public et les PME ont besoin de cette éducation, à commencer par les plus jeunes.

Nés pour certains après la naissance du smartphone, les jeunes gens ont tendance à avoir une confiance chevillée au corps en leur prothèse numérique dont ils peuvent difficilement s’extraire. On mélange souvent la facilité de se débrouiller avec une interface et la réelle maîtrise du terminal. Tous les enfants à l’aise avec leurs applications ne sont pas pour autant des hackers nés. La différence est grande et beaucoup ne mesurent en rien le niveau de vulnérabilités et de menaces au sein du cyberespace.

Si Cybermalveillance.gouv.fr et des associations ont pris le sujet à bras le corps, comment s’assurer de façon pérenne que l’éducation apportera le bagage minimum à tous les enfants et futurs acteurs économiques connectés de demain ?

Nos autres billets d'humeur...
19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques...

18/01/2018

Comment l’acceptation et la normalisation du risque cyber ont conduit à une mutation opérationnelle à tous les échelons ?

S’il est indéniable que les trois dernières années ont contribué à réveiller les consciences des médias, des entreprises et commencé à interpeller le grand public sur toutes les...

13/10/2017

Start-up, Scale-up, Sec-up ?

En ce Mois Européen de la Cybersécurité, 4 grandes actions ont été retenues et la première d’entre elles est « Participez à la sécurité du numérique de votre entreprise ». Vaste...

05/10/2017

Le Top management et les administrateurs : Je t’aime moi non plus

> La protection du patrimoine informationnel d’une entreprise dépend largement du facteur humain bien plus que de potentielles défaillances technologiques. > D’origine acciden...

05/10/2017

Portrait-robot du cybercriminel dans le deep web

> Le renseignement impose de connaître les individus, les groupes, leurs relations, leurs connaissance et leurs objectifs et cibles. > Le niveau 0 regroupe les vantards ininté...

05/10/2017

Comment gagner du temps au quotidien ?

> L’automatisation grâce à des logiciels autonomes permet un traitement de données, en continu, sans erreur de traitement. > Elle permet de gagner du temps et de libérer des t...

05/10/2017

La sensibilisation par l’exemple : CQFD

> L’ANSSI a réalisé un guide de règles de sécurité, à l’attention des PME, fait en partenariat avec la CPME. > La Hack Academy, le MOOC #SecNumacadémie sont des exemples de se...

05/10/2017

L'Internet de demain, un monde d'applications ?

> Qu’il s’agisse de se connecter à sa banque en ligne ou de faire des achats sur Internet, l’accès aux applications et aux données confidentielles est aujourd’hui indispensable...