Comment sensibiliser ses collaborateurs à la sécurité des informations?

Par 28 novembre 2000
Mots-clés : Smart city

Selon une étude réalisée en septembre par Arthur Andersen, auprès des directeurs informatiques et/ou responsables sécurité des systèmes d’information de 90 entreprises, intitulée «La sensibilisation...

Selon une étude réalisée en septembre par Arthur Andersen, auprès des
directeurs informatiques et/ou responsables sécurité des systèmes
d’information de 90 entreprises, intitulée «La sensibilisation des
collaborateurs à la sécurité des informations», 79 % des personnes
interrogées estiment le degré de sensibilisation dans leur entreprise
«peu élevé» et même «inexistant».
Le «virus informatique» marque les utilisateurs. Tout le monde comprend
cette symbolique du «virus», par analogie au milieu médical. Il faut se
«protéger» des virus par un anti-virus et éviter tout comportement
pouvant le propager. L’utilisateur prend conscience de la problématique de
la protection des données. Les produits de sécurité sont tous aujourd’hui
«orientés utilisateurs».
Une différence ressort entre le caractère prioritaire de la
sensibilisation et la mise en pratique de celle-ci. 74 % des personnes
ayant organisé une campagne de sensibilisation il y a moins d’un an,
estimaient que la sensibilisation était une action prioritaire, contre 52
% des personnes n’ayant jamais eu de campagne de sensibilisation. 39 % des
personnes interrogées déclarent «n’avoir jamais réalisée de campagne» ou
en avoir réalisée une «il y a plus de 3 ans».
Pour 28 % des personnes, le dernier/prochain lancement d’une campagne de
sensibilisation était/sera dû à un audit, 24 % à un sinistre/incident, 23
% à une volonté de la direction générale.
Toutes les catégories de personnel d’une entreprise peut être plus ou
moins sensibilisé ou facile à sensibiliser. Catégorie à part, le
top-management peut être le plus sensible à la sécurité de l’information,
ou à l’extrême, le moins sensible. 25 % seulement des personnes
interrogées estiment que le top-management est le mieux sensibilisé.
65 % des personnes estiment que les cadres dits «techniques», dont le
métier est le plus proche des technologies de l’information, sont les plus
sensibilisés. 2 % seulement des personnes interrogées pensent que les
cadres «non techniques», regroupant toutes les autres fonctions de
l’entreprise, sont les plus sensibilisés. Ce sont pourtant ceux qui sont
le plus confrontés aux deux problématiques, celle de la sécurité
informatique (autour de l’ordinateur) et celle de la sécurité du système
d’information (autour de l’information).
Pour 45 % des personnes interrogées, le personnel non-cadre (techniciens,
administratifs …) est la catégorie de personnels la moins sensibilisée.
Une sensibilisation spécifique doit être dispensée aux secrétaires,
celles-ci ayant en effet accès à la majorité des informations de
l’entreprise.
Il est absolument primordial d’avoir un soutien très fort de la direction
générale, cible première et prioritaire du responsable sécurité. L’étude
fait ressortir un soutien nettement insuffisant aujourd’hui (6 % seulement
de soutien très fort). Facteur clé du succès: commencer à sensibiliser la
direction générale avant de s’occuper des autres collaborateurs.
28 % des personnes interrogées choisissent la formation comme premier
support pour faire une sensibilisation, 25 % préfèrent les conférences et
discours, 21 % privilégient l’utilisation de supports multimédia
(intranet, CD-Rom …). De nombreux autres supports peuvent être envisagés.
Leurs avantages et inconvénients respectifs doivent être pris en compte en
fonction des objectifs de la campagne, du contexte de chaque entreprise et
de chaque typologie de cible.
Pour 83 % des personnes interrogées, une campagne de sensibilisation doit
être annuelle, voire bi-annuelle. Cette réponse est à rapprocher des 39 %
de personnes n’ayant réalisé aucune action depuis 3 ans …
Les budgets «sécurité» dédiés à la sensibilisation de l’entreprise sont
quasi inexistants, alors que selon le panel interrogé, ils devraient
atteindre un peu plus de 10 % du budget sécurité global.
Selon les conclusions de cette étude, tous les aspects liés à la gestion
de l’information, quel que soit son support, doivent être pris en compte
par la campagne de sensibilisation à la sécurité des systèmes
d’information. Les problématiques de sécurité physique, logique et
organisationnelle rentrent en ligne de compte et sont interdépendantes.
Une campagne de sensibilisation est propre à chaque entreprise. Il est
nécessaire du faire du «sur-mesure». La sensibilisation doit être
accompagnée d’une réflexion d’ensemble sur la cohérence des mesures de
sécurité et sur la manière dont elle doit être mise en application. Enfin,
la sensibilisation doit englober l’ensemble des personnels de
l’entreprise.
(Christine Weissrock – Atelier BNP Paribas – 28/11/2000)

Mentions légales © L’Atelier BNP Paribas