Récit de la création du nouveau programme de sensibilisation interne de Wavestone (1/2)

Cyberrisk Management & Strategy

Publié le

 

Il y a un an est née l’idée de TRUST, nom du nouveau programme de sensibilisation au sein de Wavestone. Avec mon équipe, nous avons passé une année à réfléchir et à développer toute une nouvelle stratégie pour sensibiliser les collaborateurs de Wavestone. Pour information Wavestone, c’est 3500 collaborateurs présents dans 8 pays, dont le métier principal est le conseil (mais pas que !), plutôt jeunes (mais pas que !), qui connaissent l’IT et la cybersécurité (mais pas que !).

Cet anniversaire était l’occasion de réfléchir au bilan et à la suite que nous allons y donner. Au regard des retours très positifs que j’ai recueillis auprès de nos collaborateurs, je considère que ce programme est une réussite par rapport à nos objectifs et j’ai donc souhaité les partager pour vous expliquer comment il est possible de construire un programme et de développer des supports sans forcément disposer d’un budget astronomique. Bref, que la sensibilisation est à la portée de chaque entreprise, même les plus petites.

 

Tout commence par un bilan et des objectifs

Le constat en début 2019 était simple : j’avais déjà développé depuis plusieurs années divers supports de sensibilisation : un personnage visuel (Sofia), un module de e-learning, des campagnes de phishing, une charte utilisateur très design (mais dont je ne suis pas dupe sur son réel taux de lecture), des vidéos, une page intranet, des mails de sensibilisation, des outils de sécurité à disposition des utilisateurs… mais alors pourquoi nos utilisateurs continuaient toujours à faire comme s’ils ne savaient pas ?

En parallèle, dans le cadre du plan stratégique Wavestone 2021 et de son enjeu d’installer le cabinet dans le top 3 de sa catégorie en matière de RSE, nous nous sommes fixés comme objectif d’être un partenaire de confiance avec 100% de nos collaborateurs sensibilisés à la protection des données.

100% ! Alors que début 2019 je n’obtenais qu’un taux de participation de 70% des collaborateurs au e-learning sécurité.

 

 

Mais alors comment faire ? Qu’inventer de plus ?

Après plusieurs séances collectives, les idées étaient là :

  • Nos diverses actions étaient trop hétérogènes, il manquait un fil rouge : une marque !
  • Les supports digitaux c’est une bonne chose, mais rien ne remplace un échange verbal (par contre, on oublie la traditionnelle formation obligatoire en présentiel de 2H pour tous les nouveaux qui est très chronophage et a un impact limité du fait du grand nombre de messages passés en 2H. J’en ai tellement animées en tant que consultant…)
  • Nous communiquons toujours sur le risque et la menace, mais les collaborateurs ont besoin d’exemples plus concrets et bien adaptés au contexte de leur entreprise. Quelles erreurs peuvent-ils faire au quotidien et quel serait le véritable impact pour Wavestone ?
  • « De l’humour ! Il faut de l’humour ! » Oui mais pas toujours ! L’humour est un très bon outil pour accrocher vos cibles, pour les appâter, les rendre disponibles à votre écoute… mais ce qu’il faut réellement c’est du pragmatisme !
  • Il est difficile pour le collaborateur de savoir finalement ce qu’il doit faire parmi les nombreuses règles qui lui sont données. Au final, une grande partie de la protection des données reste la mission de la DSI en mettant en œuvre des outils de protection, des alertes et des contrôles. Par exemple : est-ce aux utilisateurs d’être plus vigilants face au phishing ou aux e-mails malveillant ? Pour ma part je pense que c’est plus à l’entreprise :
    1. de mettre en œuvre une meilleure solution de protection de la messagerie,
    2. un meilleur EDR qui inhibera l’action de la pièce vérolée,
    3. des solutions pour éviter la propagation d’un ransomware ou faire des backups de données,
    4. une solution de multi-facteur qui complexifiera fortement l’utilisation de logins et mots de passes volés via un faux e-mail de réinitialisation de mot de passe.

Il est plus important de travailler sur le fait de limiter les impacts d’un e-mail malveillant qui trouvera toujours une victime bienveillante plutôt que de concentrer son énergie à sensibiliser les utilisateurs sur ce sujet.

A partir de ce constat, quels sont les messages que je souhaitais faire passer ? Qu’est-ce qui est vraiment à la main du collaborateur Wavestone et non de la DSI ?

Ils se sont résumés à 5 messages (je vous les mets en anglais, vous comprendrez pourquoi) :

  1. Transfer documents from your client’s ONLY WITH authorization: Lorsqu’on est un cabinet de conseil dont les collaborateurs passent autant de temps sur le SI de ses clients, le premier risque d’une non sensibilisation est de perdre un client car ses collaborateurs ont sorti des documents sensibles pour plus de simplicité à travailler avec ses postes de travail ou avec son chef de projet qui n’a pas d’accès au SI client (ou pas encore comme cela peut arriver souvent avec de longs processus de fourniture d’accès chez certains clients). Ce n’est pas un risque de sécurité en tant que tel pour Wavestone, mais plutôt un risque d’incident client qui se traite via la sensibilisation à la protection des données.
  2. Respect the project confidentiality procedure: respecter les consignes de traitement des données clients. Par contre pour qu’elle soit efficace il faut que cette procédure soit très simple… pas plus de 2 ou 3 règles.
  3. Use security tools to protect data : à condition qu’ils soient simples d’utilisation ! On en reparle un peu après.
  4. Store personal data only if necessary and process only for the intended purpose : il fallait bien mettre un peu de message RGPD dans la recette.
  5. Think twice before opening an attachment, clicking on the web link, and working in transport and public places : “mais il vient juste de nous dire que c’était le role de la DSI !” Oui, certes, vous avez raison, mais ça ne coutait rien de le rajouter à la fin. De toute manière, on oublie toujours le dernier conseil !

5 messages. Peut-être que les plus visuels d’entre vous l’ont remarqué… mais la concaténation des premières lettres de chaque ligne permet d’écrire…

 

 

Et voici la marque TRUST qui prend naissance, avec son logo, sa charte graphique et ses visuels.

 

Nous avons la marque ! Comme tout bon produit marketing, il faut dorénavant la décliner en multiples supports de promotion.

A partir du moment où nous avions notre fil rouge en termes de messages et de visuels, il ne restait plus qu’à le communiquer, mais pas en une seule action, en une déclinaison d’actions les unes liées aux autres pour à la fois multiplier les formats, les canaux, et les messages vis à vis des différentes catégories d’utilisateurs.

Production de la vidéo TRUST. Film de 5 minutes en 3 parties :

  1. Une introduction pour poser le décor par des articles de presse ou radio fictifs présentant les conséquences pour Wavestone d’un incident de sécurité (perte de client, perte de chiffre d’affaire, baisse de l’action boursière,…)
  2. 5 messages : 5 saynètes humoristiques incluant un collaborateur Wavestone et un RSSI différent. Quoi de mieux que des RSSI pour jouer leur propre rôle ? J’ai eu la chance que les RSSI de 2 sociétés du CAC40, d’une grande entreprise publique française et d’une grande banque anglaise acceptent de se prêter au jeu de manière humoristique. Encore un grand merci à eux ! Chaque conséquence de la scène est ensuite expliquée par le directeur général de Wavestone M. Patrick HIRIGOYEN. Petit extrait de la vidéo ici.
  3. Enfin une conclusion par un message de M. Pascal IMBERT, président directeur général de Wavestone, pour rappeler de manière plus solennelle, les risques encourus pour le cabinet et le besoin que chaque collaborateur se sente concerné et applique les mesures proposées.

Très bon retour des collaborateurs sur ce film humoristique qui a été largement diffusé à travers tous les canaux de communication du cabinet.

La marque TRUST a vite été identifiée. Mais ce film n’était que le produit de lancement, il en faut plus !

Création des cybercoffee quizz

Le principe est simple : réponds à minimum 3 questions de sécurité et obtiens un café gratuit et 1 goodie (un cache caméra TRUST pour cette année).

Une excellente occasion d’aller à la rencontre des collaborateurs à un moment où ils sont ouverts à la discussion : lors de leur pause café.

Pour cela, il faut du visuel : Des kakémonos, des polos spécifiques, des écrans avec des films de sensibilisation et 1 machine à café gratuite. Il ne faut pas nous rater !

 

 

Tous les 15 jours, mon équipe s’installait ainsi à une salle de pause différente dans nos locaux pour présenter TRUST, faire jouer les collaborateurs et répondre à leurs questions. Une initiative fortement appréciée des collaborateurs. Au-delà de l’appât du gain, ces derniers étaient ravis qu’on prenne du temps pour leur expliquer individuellement des choses qu’ils ne connaissaient pas ou mal et tous les éléments simples qui étaient à leur disposition. « Ce n’est pas si compliqué que cela en fait la sécurité ! »

Déclinés en format présentations dans des réunions management ou réunions d’équipes dans nos différents bureaux, ces quizzes nous ont permis de rencontrer physiquement plus de 1 000 collaborateurs en 9 mois, soit environ 1/3 du personnel. Certes chronophage, cette action reste l’une des plus impactantes pour se faire connaitre et faire connaitre les messages.

Astuce technique : concrètement, c’est très facile à mettre en œuvre :

  • Un formulaire de 3 questions, pour nous, réalisé sur Microsoft Forms,
  • Un QR code affiché sur un kakémono ou une affiche pour que depuis son smartphone, le participant ait facilement accès à ce formulaire (il suffit de sortir l’appareil photo, pas besoin d’application à installer)
  • Enfin un simple workflow (via Power Automate) pour enregistrer le résultat dans une base et envoyer automatiquement un mail récapitulatif au participant avec les messages clés et les liens vers les vidéos.

Le score et les corrections s’affichant directement sur le smartphone après validation, l’animateur peut directement échanger avec le participant pour lui expliquer ses erreurs et lui offrir son cadeau.

Et si les outils de sécurité étaient des superhéros ?

« Chiffre ton document », « Protège tes mots de passe », « Chiffre tes mails », tant de consignes données à des utilisateurs qui, malgré leur bonne volonté, se retrouvent souvent à dire « Je veux bien, mais comment faut-il faire ? »

Nous avions tout un catalogue d’outils installés sur les postes ou à disposition des collaborateurs qui étaient tous simplement méconnus de tous. Il nous fallait donc les sortir de l’ombre et leur permettre de révéler au grand jour leur existence et leur utilité. C’est ainsi qu’est née notre ligue des Trustees !

 

 

A chaque outil son super héros dont le devoir est de montrer à nos collaborateurs à quoi ils servent et comment il est si simple de les utiliser en moins de 1 minute :

« Je veux envoyer un document sécurisé à mon client » : Chiffre le avec 7zip !

« Je veux protéger les documents sur ma clé USB » : Chiffre la avec BitlockerToGo c’est sur ton poste !

Affiches et petits films de démonstration à l’appui ont permis de communiquer sur nos différents canaux et d’en faire la présentation lors de nos Cybercoffee quizzes.

Je n’irais pas à dire qu’ils sont dorénavant utilisés à tous les coups, mais à minimum qu’ils sont plus connus et donc toujours plus utilisés qu’ils ne l’étaient avant.

 

 

Astuce technique : saviez-vous qu’il n’y avait pas besoin d’un logiciel professionnel et un bac+5 en audiovisuel pour réaliser des petits films d’animation ?

Il existe des outils du type Powtoon ou Vyond qui vous permettent de réaliser des films de sensibilisation très facilement avec toute une série de personnages ou de décors déjà proposés. En 1 à 2 jours vous arrivez déjà à faire votre première vidéo d’une minute. Rapidement il ne vous faudra qu’une demie-journée de montage. Le plus complexe reste toujours l’écriture du script, étape dont la durée peut être très variable selon le message que vous souhaitez passer, votre contexte ou votre degré d’exigence (c’est ce dernier point qui me prend personnellement beaucoup de temps !)

Pour des films plus simples incluant des extraits de vidéos et du texte, personnellement, mon nouvel outil de montage de vidéo est devenu Microsoft PowerPoint ! Vous savez déjà tous l’utiliser pour mettre du texte, des animations, des transitions. Il ne vous suffit plus que d’utiliser les fonctions d’insertion vidéo, d’enregistrement d’écran et d’export en vidéo. 3 fonctionnalités qui vous simplifient la vie car habituellement il faut toujours trouver des outils tierces pour enregistrer son écran, couper les rushs, convertir les vidéos.

Vous pouvez même enregistrer vos films en format GIF pour les intégrer directement dans vos e-mails de sensibilisation ! Pas besoin de rediriger votre utilisateur vers un site de vidéos !

L’avantage ultime, c’est que vous pouvez faire faire vos vidéos par d’autres personnes, les modifier à posteriori par d’autres sans formation car la plupart de vos collaborateurs savent utiliser PowerPoint. La créativité devient votre seule limite.

 

3 nouveaux supports, c’est tout ?

Dès que nos nouveaux supports étaient prêts, nous en avons profité pour remettre aux couleurs de TRUST nos anciens outils de sensibilisation :

  1. Le e-learning à destination de tous les nouveaux collaborateurs s’est vu repeindre des visuels TRUST avec l’intégration des films présentés précédemment et un recentrage des questions vis-à-vis de nos 5 messages. Ce côté plus ludique nous a permis d’atteindre notre objectif que 100% des collaborateurs arrivés en 2019 réalisent ce e-learning. C’est également grâce à une bonne énergie de relances et une persévérance que cet objectif a été atteint ! Pas si facile que ça le 100%…
  2. La page Intranet a également fait l’objet d’un relooking pour centraliser tous ces supports et mettre en avant les messages.
  3. Les alertes de sécurité à destination des collaborateurs sont également passées sous la marque TRUST. Il ne faut pas l’oublier mais ces alertes peuvent être un formidable outil de sensibilisation. Entre l’e-mail automatique indiquant « On t’a vu ce n’est pas bien, tu vas être puni » et le mail de prévention envoyé par le personnage de sensibilisation expliquant les bonnes manières de faire, le message passe différemment. Et je pense fortement qu’il est plus efficace… la preuve en est de la baisse observée de ces alertes depuis leurs implémentations.

 

 

Fin du premier article… comment tenir dans la durée et ma conclusion prochainement dans la partie 2.