Récit de la création du nouveau programme de sensibilisation interne de Wavestone (2/2)

Cyberrisk Management & Strategy

Publié le

Retrouver toute l’histoire de la création de TRUST dans mon premier article.

 

Un lancement de campagne c’est bien, mais comment tenir dans la durée ?

La création de TRUST n’a pas été une finalité, mais un tremplin pour la suite.

Au démarrage du projet, nous avions tout de suite imaginé quel serait le rythme annuel de nos 2 plans de sensibilisation.

Nous devions avoir en tête de gérer la sensibilisation de 2 populations distinctes : les nouveaux et les anciens collaborateurs.

Pour les nouveaux, la solution est simple : planifier le lancement de tous les supports TRUST existants sur une année pour espacer les messages.

 

 

Pour tous les autres collaborateurs, c’est plus complexe. Comment faire à nouveau passer les messages sans donner un sentiment de déjà vu, de lassitude, voire d’overdose ?

Nous avons donc organisé notre plan de sensibilisation avec 3 grandes actions espacées temporellement.

 

Un nouveau rendez-vous mensuel : The Trust minute

 

 

Un film d’une minute diffusé sur tous nos canaux de communications pour présenter 5 messages différents par mois :

  1. Un exemple anonymisé d’incident utilisateur ou avec un client
  2. Un Trustee, nos outils de sécurité présentés dans l’article précédent
  3. Un indicateur de sécurité (ex : le pourcentage de nouveaux ayant réalisé le e-learning, le nombre de démissionnaires détectés à télécharger des documents avant leur départ). Le fait de partager ces indicateurs permet de sensibiliser sur la problématique et de démontrer l’existence des contrôles.
  4. Une astuce du quotidien donnée par notre amie Sofia
  5. Une actualité cyber vulgarisée

 

 

Une nouvelle campagne de cybercoffee quizz car le résultat est au rendez-vous.

Evidemment, il faut se renouveler, changer les questionnaires (mais pas forcément les thèmes), changer le goodie, mais tout cela est facile et demande peu de préparation. Certes, je vous l’avoue, cette période de confinement a légèrement remis en cause notre plan initial. Cependant, cela a été l’occasion d’être imaginatif et de sortir, en partenariat avec mes collègues de la practice Cybersécurité & Digital Trust, la nouvelle série en vidéo TotalCyberAwakening sur le confinement.

 

Un évènement global annuel en octobre lors du mois de la cybersécurité.

En 2019, nous avions organisé un jeu concours à l’échelle du cabinet sur le thème de la protection de la vie numérique personnelle.

Chaque semaine, tous les collaborateurs recevaient une question par mail à laquelle ils pouvaient répondre directement via des boutons de choix (envoi d’une approbation à choix multiples via Power Automate). En fonction de leur réponse, ils recevaient un second email leur annonçant la réponse et différents conseils associés à utiliser à titre personnel.

La participation à une question et une bonne réponse alimentaient une cagnotte en euros. Plus de 2100€ ont ainsi été reversés à l’association ISSA à laquelle Wavestone s’est associée pour promouvoir la cybersécurité auprès des écoles et des enfants.

Ce premier jeu sur base de volontariat nous a permis d’atteindre plus d’un tiers des collaborateurs de Wavestone.

 

 

Nous sommes déjà en train de préparer celui d’octobre prochain et cette fois-ci nous irons plus loin, avec des vidéos, des jeux, des rencontres, des quizz sous un thème global inspiré d’une célèbre série TV. Et si cette fois-ci la nouvelle menace de Wavestone était le retour des marcheurs blancs ?

 

6 éléments clés à retenir

Pour résumer, les éléments clés de succès pour la création d’un programme de sensibilisation réussi sont les suivants :

  1. Se fixer des objectifs chiffrables et atteignables
  2. Définir un fil rouge (un thème, une marque) qui va permettre aux utilisateurs d’associer facilement vos messages à la sécurité
  3. Définir une courte liste de messages à faire passer et s’y tenir
  4. Diversifier les supports et les canaux (affiches, films, mails, e-learning, jeux) mais toujours conserver au moins un évènement permettant d’aller à la rencontre des utilisateurs
  5. Utiliser dans un premier temps les outils déjà à votre disposition (PowerPoint, mails, PowerAutomate) avant d’acquérir si besoin de nouvelles solutions intéressantes mais pas forcément prioritaires pour démarrer
  6. Faire preuve de créativité et utiliser l’humour pour faire passer vos messages (attention toutefois à prendre en compte les différences de culture dans le cadre d’un groupe international)