Pour transformer, il faut savoir d’où l’on part…

Avant toute transformation, il est important de définir le point de départ et de partager les constats avec le comité exécutif. L’utilisation de standards internationaux pour s’évaluer est évidemment la base, l’ISO 27001/2 et le NIST CSF sont les deux références internationales : l’une plutôt européenne, l’autre plus anglo-saxonne.

Mais ce qui comptera le plus aux yeux des dirigeants, c’est un benchmark basé sur la posture de leurs concurrents et du marché dans lequel il se situe. A ce titre, nous avons développé chez Wavestone, un outillage spécifique et construit une base de comparaison qui regroupe actuellement plus de 50 grandes organisations, majoritairement internationales et basées en Europe. La qualité de cette base est essentielle pour convaincre les dirigeants, qui lors des debriefings demanderont, avec précision et souvent beaucoup de prise de recul, ce qui est fait ailleurs.

Premier élément clé d’une évaluation : poser les bonnes questions et obtenir des réponses utiles ! Dans une grande organisation, il est complexe d’évaluer finement le niveau de conformité aux règles de sécurité. L’utilisation d’une simple notation, sur une échelle classique de maturité – de 1 à 4 par exemple – atteint rapidement sa limite. Ce que nous avons choisi de faire et qui a fait ses preuves sur le terrain, c’est de répondre aux questions en exprimant un pourcentage de périmètre couvert. Par exemple,  il est possible d’avoir 80% des postes de travail avec un anti-virus simple et 20% avec un outillage moderne type EDR. La même approche est réplicable sur les questions plus organisationnelles, 50% des utilisateurs sensibilisés par l’envoi d’emails, 30% par le suivi d’un webinar et 20% par des séances en présentiel.

Dans l’inconscient collectif, cette phase d’interrogations paraît souvent longue et très consommatrice d’énergie. Elle peut en effet l’être si l’on souhaite un fort niveau de détail, la collecte de preuves ou des vérifications techniques : cela peut être utile lorsque l’organisation a déjà un fort niveau de maturité. Mais au début d’une démarche, une approche plus simple et efficace, typiquement sur une période courte d’un mois avec une charge d’une vingtaine de jours peut être suffisante pour se donner une vision concrète de la situation et suffisamment d’arguments pour obtenir des décisions et lancer le changement.

Durant la phase de préparation, il sera également important d’identifier en amont les attentes du comité exécutif. Echanger avec les membres les plus concernés autour de leurs attentes, recueillir leur avis sur la bonne manière d’aborder le sujet et les priorités de l’organisation sera essentiel pour garantir la pertinence des phases de questionnement et de restitution. Rien de pire que de faire un hors sujet le jour de la restitution !

… Et partager la réalité de la situation

Après la phase de collecte, viendra ensuite l’heure de l’analyse des résultats. Notre retour d’expérience montre qu’il est efficace de combiner plusieurs vues pour donner du sens et obtenir de l’engagement. Les classiques rosaces de conformité à l’ISO ou au NIST sont évidemment des incontournables mais s’avèrent souvent peu efficaces : trop d’axes, trop d’éléments mélangés qui donnent finalement toujours des notes moyennes.

Comme évoqué dans le billet précédent, deux indicateurs feront mouche au début de l’échange : le budget dédié à la cybersécurité et les effectifs mobilisés sur la cybersécurité. L’indicateur de budget est toujours délicat à manipuler (forte variation annuelle et méthode de comptabilisation non homogène), nous préférons souvent utiliser celui des effectifs plus stables et plus fiables). Ensuite, il est selon nous efficace de dérouler l’analyse sur 3 axes :

• Le 1^er, c’est la résistance de l’organisation aux dernières attaques connues. Elément clairement le plus efficace en debriefing avec le comité exécutif, il permet aussi d’attirer l’attention au début de la restitution. Pour réaliser cette vue, nous utilisons les retours opérationnels du CERT-W pour savoir quelles sont les dernières méthodes d’attaques des cybercriminels et nous réalisons une analyse des mesures qui sont concernées.
• Le 2^ème, c’est la posture face au marché, en croisant le niveau de conformité par rapport aux référentiels internationaux (type : « je vise 75% de conformité à l’ISO ») avec l’écart à la moyenne du marché pour l’organisation concernée (« sur la sécurité du poste de travail, je suis 3 points en dessous du marché. Sur la sécurité physique, je suis 2 points au-dessus »). Croiser ces deux axes permet d’identifier les zones prioritaires (celles où vous êtes en dessous des standards internationaux mais aussi en dessous du marché) de celles où il ne faut pas s’acharner (tout le marché est en dessous des référentiels internationaux, mais vous êtes au-dessus de la moyenne du marché).
• Le 3^ème, c’est une vue orientée « acteurs » de la transformation, organisée par les grandes entités qui seront en charge de la transformation (par exemple : au sein de la DSI, le réseau, les postes de travail, les serveurs, au sein de la direction des risques…). Cette vue est très utile pour conclure l’échange car elle met dans l’action et permet de montrer qui va devoir le plus s’investir.

Bien sûr, ces différentes vues peuvent être segmentées en fonction des pays ou des grandes unités organisationnelles pour refléter d’éventuelles disparités ou attentes de la direction.

Dans cette phase de restitution, notre retour d’expérience montre que les comités exécutifs sont de plus en plus sensibles aux sujets liés à la cybersécurité et vont poser des questions très précises et concrètes. Il faut donc s’armer de preuves et d’éléments factuels concernant l’organisation. Avoir à disposition des résultats d’audits récents, de chiffres concrets sur la durée requise pour réussir une intrusion voire même des vidéos de démonstration d’attaques peut faire basculer un comité exécutif qui prendra conscience du risque.

Entamer dès maintenant l’étape 3: la transformation de l’organisation

Décrire la situation, les difficultés et les axes de progression ne doit pas être une fin en soi. Il faut préparer des premiers arguments sur la conduite du changement. Qui doit porter la transformation ? Quelles sont les volumes financiers à prévoir ? Quel planning envisager ? Quel reporting effectuer ? Et surtout quel sponsor dans le comité exécutif pour suivre ce sujet ! Sans être une partie formelle de la restitution, amener ces éléments à la fin de l’échange permet de préparer l’étape suivante et de collecter des premières orientations.

Ces questions sont évidemment très dépendantes de l’organisation mais nous voyons des tendances se dessiner. Aujourd’hui, c’est majoritairement le RSSI au sein de la DSI qui porte la transformation, souvent épaulé par un directeur de programme expérimenté connaissant bien la structure. Concernant les budgets, pour des programmes de remédiation majeurs, les sommes oscillent dans le secteur financier entre 200 et 800 millions d’euros, et dans l’industrie entre 50 et 100 millions. Ces sommes sont engagées usuellement sur des programmes de 2 ou 3 ans et sont suivies par le comité exécutif à l’échelle trimestrielle au lancement puis un rythme semestriel peut être pérenniser.

Pour conclure la session, le plus important reste de définir la prochaine étape. Même si toutes ces restitutions n’amènent pas le lancement de programme d’investissement immédiatement, il peut être utile d’évoquer que la revue des risques prend en compte ces résultats ou proposer la réalisation d’un benchmark à nouveau l’année suivante.

Cet article Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions est apparu en premier sur RiskInsight.

Notre méthodologie d’audit

Retrouvez l’étude détaillée et le replay du webinar.

Cet article Cybersécurité des sites industriels : benchmark sur 40 audits est apparu en premier sur RiskInsight.

Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

Fondée sur un panel de 28 000 personnes interrogées dans 12 entreprises majeures, cette étude met en lumière des points cruciaux sur lesquels les entreprises doivent agir aujourd’hui afin d’éviter d’être, une fois de plus, victimes de cyberattaques. Cette analyse complète, unique en France, a été réalisée avec la solution ISAM de Conscio Technologies, qui permet d’auditer le niveau de sensibilisation des salariés en matière de sécurité informatique.

46% des collaborateurs ne connaissent pas les comportements à adopter face à l’ingénierie sociale

Premier enseignement, la fragilité des entreprises face à l’ingénierie sociale (faux emails de type phishing, escroqueries au président, appels téléphoniques frauduleux…) est clairement démontrée. 46% des collaborateurs ne connaissent pas les comportements à adopter face à ce type d’attaques. « L’ingénierie sociale est aujourd’hui le vecteur n°1 pour réaliser des fraudes ou s’introduire dans les réseaux d’entreprise. L’ensemble des collaborateurs doit connaître cette menace et surtout savoir comment se comporter, en particulier en alertant rapidement les responsables sécurité » détaille Gérôme Billois, senior manager cybersécurité chez Solucom. « La majorité des incidents ou pertes de données sont déclenchés par le facteur humain. Il est donc primordial de sensibiliser les salariés aux bonnes pratiques et d’envisager la sécurité dans son ensemble » confirme Michel Gérard, directeur de Conscio Technologies.

Les bonnes pratiques de sécurité des mots de passe maitrisées par 47% des collaborateurs

Deuxième enseignement, les mots de passe restent un sujet complexe pour les collaborateurs des entreprises. 88% d’entre eux sont sensibilisés sur la nécessité d’avoir un mot de passe de bonne qualité (longueur, absence de mots existants…) mais seulement 47% adoptent les bonnes pratiques dans leurs activités quotidiennes. « Ce chiffre montre que malgré de bonnes intentions, seule la mise en place de mécanismes techniques pour forcer la qualité des mots de passe fera évoluer la situation » analyse Gérôme Billois.

La réglementation, un sujet connu uniquement par 63% des collaborateurs

Enfin, il apparaît que les collaborateurs des grandes entreprises sont très peu sensibilisés aux réglementations sur la protection des données à caractère personnel. Ce thème obtient globalement le plus faible des scores, avec 63% des répondants connaissant les règles de base sur la protection des données des clients ou des collaborateurs. « Ceci fait courir un risque juridique direct aux entreprises, d’autant plus que la réglementation va très prochainement se durcir avec le nouveau règlement européen sur les données à caractère personnel » détaille Gérôme Billois.

La sensibilisation des collaborateurs est un facteur clé de la cyberprotection des entreprises. Aujourd’hui, de nombreuses structures réalisent des actions dans ce domaine mais peu en évaluent réellement l’effet. « C’est pourtant cette évaluation qui permet de mesurer l’efficacité et d’orienter les prochaines actions vers les populations les plus à risque » ajoute Michel Gérard.

Téléchargez le benchmark 2015 de la sensibilisation à la cybersécurité

Etude menée par Solucom et Conscio Technologies en 2015 sur un panel de 28 000 utilisateurs de la solution ISAM de 12 entreprises majeures en France. L’étude est disponible auprès de Solucom et Conscio Technologies et sera distribuée lors du FIC 2016 qui se tiendra à Lille les 25 et 26 janvier 2016.

Cet article Sensibilisation à la cybersécurité : où en sont les entreprises françaises ? est apparu en premier sur RiskInsight.

[Par Marion Couturier en collaboration avec  Loïc Dechoux]

Cet article Sensibilisation : quelles pratiques chez les grands comptes ? est apparu en premier sur RiskInsight.

Sensibiliser, mais à quel prix ?

Affiches, e-mails, jeux, etc., il existe une multitude de moyens de sensibilisation présentant chacun leurs avantages et leurs défauts.  Largement plébiscité par 78% des entreprises du panel étudié, l’e-mail est le vecteur de sensibilisation le plus utilisé. Facile à déployer, peu coûteux, il n’est néanmoins pas suffisant pour garantir l’efficacité d’une campagne de sensibilisation à la sécurité de l’information. Ainsi, plus de 60% des entreprises optent pour la mise en place complémentaire d’évènements sécurité et de contenu dynamique sur Intranet, la diffusion de plaquettes et de fiches pratiques. Seules 25% des entreprises utilisent des solutions plus élaborées telles que la diffusion de contenu multimédia, la mise en place d’e-learning ou encore le déploiement de jeux et de quizz.

Comment expliquer l’utilisation massive d’e-mails qui ne seront pas forcement efficaces alors que la diffusion d’un contenu multimédia assurerait un impact plus important auprès des collaborateurs à sensibiliser ? La réponse tient en un mot : budget. Là où une campagne de mailing représentera un coût pratiquement nul pour l’entreprise, le tournage d’un clip vidéo de sensibilisation ou la mise en place d’un e-learning peuvent s’élever à plusieurs dizaines de milliers d’euros, notamment en cas de recours à une agence de communication. Seules les entreprises ayant les budgets sensibilisation les plus importants peuvent donc orienter vers cette solution.

 Les mêmes moyens de sensibilisation pour tous ? Focus sur le Plan de Continuité d’Activité (PCA)

Seules 25% des entreprises utilisent l’e-mail comme moyen de sensibilisation au PCA alors qu’elles sont 78% à l’utiliser pour la sensibilisation à la sécurité de l’information. Cette différence tient dans le fait que la sensibilisation au PCA vise notamment à inculquer les réflexes à avoir en cas de sinistre informatique. Les supports dématérialisés ne seraient donc plus accessibles ! Les plaquettes sont dès lors beaucoup plus utilisées. Cela illustre la nécessité d’adapter les supports de sensibilisation, que ce soit en fonction de la cible visée ou des spécificités du sujet traité.

 La sensibilisation à la sécurité de l’information et nouvelles technologies : une course contre la montre

Web 2.0, réseaux sociaux, Bring Your Own Device, etc., ces nouvelles pratiques ne cessent de se développer au sein des entreprises, amenant avec elles de nouvelles menaces pour la sécurité de l’information. La maîtrise des risques liés à ces services évoluant en permanence nécessite un effort constant pour rester efficace et ne pas subir l’innovation. La démocratisation progressive de l’utilisation de ces services au sein de l’entreprise doit donc s’accompagner d’une sensibilisation à leur utilisation en toute sécurité.

Parmi les usages récents, l’utilisation des réseaux sociaux s’est généralisée depuis 2008. 65% des entreprises en autorisent maintenant l’usage, majoritairement en en limitant l’accès à certaines populations métier (55%). Mais ces outils ayant pénétré aussi nos vies personnelles, elles sont aujourd’hui plus de 90% à sensibiliser leurs collaborateurs aux risques inhérents à leur utilisation. En revanche, le BYOD et les services de cloud computing personnels (Dropbox, Google Drive…) qui sont plus récents et moins répandus font encore peu l’objet de l’attention des utilisateurs : 12% des entreprises sensibilisent leurs collaborateurs au risque de fuite d’information que représentent ces derniers, et seulement 8% les sensibilisent aux risques du Bring Your Own Device.

L’un des grands enjeux de la sécurité de l’information aujourd’hui est donc, à défaut de pouvoir traiter immédiatement toutes les menaces, de tenter de réduire le délai entre leur apparition et leur prise en compte effective !

[Article rédigé en collaboration avec Loïc Dechoux, consultant]

Cet article Sensibilisation à la sécurité de l’information : où en sont les entreprises ? est apparu en premier sur RiskInsight.