Comment mesurer l’impact des campagnes de sensibilisation ?

Cyberrisk Management & Strategy

Publié le

Il faut bien le dire, la sensibilisation du personnel a, pendant longtemps, été le parent pauvre des stratégies de sécurité mises en œuvre dans les entreprises. Quelques contre-exemples notables ne peuvent dissimuler le fait que ce sujet ait été peu, pas ou mal traité dans la majorité des entreprises.

Parmi les raisons qui ont pu conduire à cette situation, il est possible de recenser notamment le manque de budget ; la difficulté de mobiliser des intervenants aux métiers différents ; la difficulté de montrer des résultats car l’effort doit être porté dans la durée ; les a priori de certains dirigeants : «  la sensibilisation, ça ne sert à rien. »

C’est pourquoi, si l’on veut être capable de placer le traitement du volet humain de la sécurité et donc la sensibilisation à sa juste place, il est indispensable de disposer d’une mesure qui va nous permettre de savoir d’où on part, quel est le chemin parcouru et donc de placer les travaux de sensibilisation dans une démarche d’amélioration continue.

Enfin si l’on veut pouvoir intégrer le processus de sensibilisation dans l’élaboration d’un tableau de bord SSI, il est nécessaire de disposer des bons indicateurs.

Que mesure-t-on ?

Un modèle de maturité

A des fins de benchmark et pour pouvoir se donner des objectifs clairs et réalistes, il peut être utile de pouvoir se positionner et se fixer des objectifs à atteindre au travers d’un modèle de maturité.

C’est pourquoi nous proposons ici un modèle de maturité adapté à la problématique de sensibilisation. La classification ci-dessous illustre les différents niveaux que l’on peut rencontrer quant au développement d’une culture sécurité :

  • Niveau 0 : les utilisateurs sont laissés à eux même, aucune consigne particulière ne leur est donnée, seuls les équipements d’infrastructure assurent la sécurité ;
  • Niveau 1 : des outils sont mis en place sur l’initiative de l’équipe SSI (charte, affiches…) Aucun retour quant à l’efficacité de ces mesures n’existe, on communique quelques messages en espérant qu’ils seront entendus.
  • Niveau 2 : la Direction s’assure que tout le personnel est formé. Elle a délégué à l’équipe SSI le soin d’assurer des actions d’information et de sensibilisation. Des tests sont menés afin de s’assurer que la connaissance des bonnes pratiques est bien diffusée ;
  • Niveau 3 : correspond aux caractéristiques du niveau 2 auxquelles on rajoute une communication claire et directe par la direction d’une vision ; des actions sont menées afin de modifier les comportements et des indicateurs sont mis en place et suivis ;
  • Niveau 4 : on retrouve les caractéristiques du niveau 3 et : la sécurité est intégrée à chaque processus et fait partie de la culture d’entreprise, chaque manager suit la qualité du travail fourni en regard de la sécurité, les incidents sont analysés et cette analyse donne lieu à une amélioration continue.

Dans notre modèle de maturité, il apparaît clairement que le fait d’apporter une mesure dans la mise en œuvre des campagnes de sensibilisation n’apparaît qu’au niveau 2. Ce n’est qu’à partir de ce niveau qu’on commence à se préoccuper des résultats de ce qui est fait.

Une mesure sur 3 axes

Le niveau de maturité d’une population concernant la sécurité numérique se mesure sur trois axes :

  • L’axe sensibilité correspond à la perception que les collaborateurs ont de la sécurité comme étant un sujet important dans l’organisation.
  • L’axe connaissances correspond au niveau de connaissance des utilisateurs sur les enjeux, les bonnes pratiques.
  • L’axe comportements correspond au niveau de respect, par les utilisateurs, des comportements souhaités.

Plusieurs méthodes existent pour visualiser les mesures obtenues. Une manière classique consiste à représenter sur une figure multi axes les résultats obtenus en pourcentage d’un résultat maximal possible. C’est ce que l’on retrouve dans le schéma suivant.

 

 

Figure 1. C’est en développant la sensibilité et les connaissances au travers d’une communication engageante que l’on finit par obtenir les comportements souhaités

La valeur obtenue pour chacun des axes est directement liée à la campagne de mesures qui est faite sur les indicateurs propres à chaque axe. Les graphiques suivants donnent des exemples de ce qui peut être fait en la matière.

Ainsi la mesure des connaissances peuvent se faire selon les thématiques choisies pour les campagnes et regroupant l’ensemble des sujets à traiter.

La mesure de la sensibilité peut se faire sur quelques indicateurs permettant d’objectiver un sujet à priori difficile à évaluer. Ainsi cette mesure peut s’effectuer en évaluant au travers d’un processus d’audit tout ce qui participe à faire du sujet quelque chose d’important et la perception que les collaborateurs en ont.

On définit ensuite, pour chacune des réponses proposées, le nombre par lequel sera incrémenté l’attribut si cette réponse est choisie. Chaque répondant obtient ainsi une note sur cet attribut. On calcule ensuite la moyenne des résultats obtenus que l’on met en regard de la note maximale qu’il est possible d’obtenir.

La mesure des comportements portera sur certaines catégories de comportements a priori plus facilement observables.

Comment mesure-t-on ?

Réalisation d’une enquête physique

Relativement peu usité, la réalisation d’une enquête physique peut avoir l’avantage de permettre de prendre le pouls d’une population au regard de la sécurité de l’information. En effet, au-delà des aspects quantitatifs, le retour effectué par des enquêteurs peuvent, dans ce cas, incorporer des éléments d’ « ambiance » difficile à évaluer par d’autres procédés. En revanche le procédé prend du temps et est couteux.

L’enquête est alors réalisée sur un échantillon représentatif de la population ciblée. L’échantillonnage sera effectué selon la méthode des quotas, c’est-à-dire respectant en proportion les différentes caractéristiques de la population de l’organisation.

Cet état des lieux s’exprime ensuite au travers d’un rapport constitué d’éléments qualitatifs et quantitatifs.

La situation de l’organisation au regard du développement d’une culture sécurité sera rapprochée du modèle de maturité. On tentera également de dégager des axes de progression et de définir des objectifs à atteindre en vue de faire progresser la culture sécurité dans l’organisation.

Mesure en ligne

La réalisation d’une enquête en ligne est un excellent moyen pour réaliser une évaluation de la maturité d’une population au regard des questions de sécurité. Ce procédé permet de cibler la totalité de la population et de rester à un coût de mise en œuvre raisonnable.

Afin de permettre, comme nous l’avons vu, une mesure sur les trois axes de sensibilité, de connaissances et de comportements, une telle enquête doit :

  • Être composée d’une série de QCM, traitant des différentes thématiques à couvrir (aspects légaux, organisation, mot de passe, ingénierie sociale…) ;
  • Permettre la mesure de la connaissance par un rattachement des questions aux différents sujets à couvrir ;
  • Associer les attributs sensibilité, connaissances et comportements aux questions afin de donner une valeur à ces attributs en fonction des réponses choisies par le répondant.

La diffusion de l’enquête pourra également s’appuyer sur un outil permettant d’identifier les niveaux de réponses en fonction d’un profilage particulier de la population cible. Cela permet notamment de mesurer l’impact d’une campagne de sensibilisation en fonction des métiers de l’entreprise.

Des questions sont donc posées en ligne dans le cadre d’une enquête menée sur une période de quelques semaines.

Évaluation des comportements par observation

La finalité des campagnes de sensibilisation étant d’avoir un impact réel sur les comportements, il peut être particulièrement intéressant de mesurer l’évolution dans le temps de certains comportements réels. Il s’agit ici de mesurer ce que font les collaborateurs réellement et non ce qu’ils déclarent ou ce qui transparait dans leur réponse à une enquête. Cela passe par l’observation de ces comportements et la mise en œuvre de tests. On peut ainsi citer, à titre d’exemple :

  • Test sur l’utilisation de la messagerie et sur le respect de la politique antivirale par envoi de messages de source inconnue avec une pièce jointe exécutable mais inoffensive et mesure du taux d’ouverture de ces pièces jointes ;
  • Test de phishing : envoi d’un message de type phishing mais au contenu inoffensif et permettant de mesurer le taux de clics ;
  • Test sur le respect de la politique de création de mot de passe par un test de résistance sur la base de mots de passe ;
  • Test sur le respect de la politique de l’utilisation d’Internet par examen des traces et le recensement des urls visitées;
  • Etc…

A chacun de ces tests est associé un indicateur qui peut être à chaque fois le taux de bons comportements sur le nombre de comportements observés. Ces indicateurs viennent ensuite enrichir la mesure faite sur l’axe comportements

Rattachement au tableau de bord sécurité

Le traitement du volet humain de la sécurité est un aspect essentiel de toute stratégie sécurité. Ainsi, s’il est élaboré un tableau de bord de la sécurité, il convient d’intégrer la mesure de maturité des collaborateurs de l’entreprise dans son élaboration.

Si ce tableau de bord suit une approche de type tableau de bord équilibré (Balanced Score Card) on doit identifier les Indicateurs Clés d’Objectif (ICO) et les Indicateurs Clés de Performance (ICP) applicables au processus de sensibilisation.

L’objectif de tout processus d’acculturation est, rappelons-le, d’obtenir des comportements conformes aux bonnes pratiques et, par-là, de diminuer le nombre d’incidents trouvant leur origine dans une cause humaine. Il est donc possible de choisir comme ICO :

  • Le nombre d’incidents ayant pour origine un défaut de comportement d’un collaborateur, dans la mesure où le processus de gestion des incidents le permet ;
  • Le nombre de constatations de défauts de comportements dans le cadre d’un audit ou d’une enquête récurrents portant sur un référentiel constant.

Et comme ICP :

  • Les indicateurs choisis pour mesurer la sensibilité ;
  • Et, les indicateurs choisis pour mesurer la connaissance.

En conclusion

Il faut inscrire la mesure dans une dynamique

A la question : « Comment intéresser ma Direction Générale aux opérations de sensibilisation ? »

La réponse est : « Donner lui un retour quantifié ! »

La mise en place d’une mesure dans le temps du niveau de maturité du Personnel au regard des questions de sécurité ne peut qu’intéresser une Direction Générale et la motiver à accorder des moyens à des actions dont elle mesure l’impact.

Le processus d’acculturation d’une population est un chantier de longue haleine, seule la mise en place d’une mesure permet de démontrer le chemin parcouru et de se donner des objectifs.

 

Extrait du livre blanc « Comment mesurer les impacts des campagne de sensibilisation » rédigé par Hapsis en février 2015.