Par Michel GERARD,
Président de Conscio Technologies
Dans un environnement
où les cybermenaces évoluent sans cesse, les entreprises doivent répondre à une
question décisive : comment sensibiliser efficacement leurs collaborateurs ? La
clé réside dans une définition claire et précise des objectifs de sensibilisation.
Sans ces bases solides, toute campagne risque de manquer sa cible.
Pourquoi définir des
objectifs de sensibilisation à la cybersécurité ?
Avant de lancer une
campagne, il est indispensable de se poser la question : qu’attendons-nous de
cette action ? Les objectifs de sensibilisation permettent de :
• Orienter les efforts : une direction claire
aide à aligner toutes les parties prenantes.
• Mesurer l’impact : des objectifs bien
définis facilitent l’évaluation des résultats.
• Engager les collaborateurs : lorsque les équipes
comprennent le « pourquoi », leur adhésion est
plus forte.
Les 5 objectifs
stratégiques les plus rencontrés
1. Changer la
perception de la cybersécurité
Pour beaucoup de
collaborateurs, la cybersécurité est perçue comme un sujet technique réservé
aux spécialistes. Un excès de confiance dans la protection apportée par
l’organisation est également rencontré. Le premier objectif consiste à montrer
que chacun a un rôle à jouer.
2. Développer une
culture de cybersécurité
L’objectif ici est
d’intégrer la cybersécurité dans les valeurs de l’entreprise. Les bonnes
pratiques doivent devenir des réflexes, au même titre que les consignes de
sécurité physique.
3. Respecter les lois
et réglementations
Avec des
réglementations comme le RGPD ou la directive NIS2, la conformité est un
impératif, mais il ne suffit pas de cocher des cases. L’objectif est de
démontrer un engagement sincère, tant auprès des collaborateurs que des
régulateurs.
4. Réduire les
incidents de sécurité liés aux comportements
Un objectif mesurable consiste à diminuer les erreurs humaines, responsables de la majorité des incidents. Indicateurs :
• Réduction des clics
sur des e-mails de phishing,
• Hausse du signalement
des évènements suspects.
5. Renforcer la
visibilité du rôle des RSSI
Les communications les
plus efficaces sont celles qui sont incarnées. En ce sens, la perception du
rôle
du RSSI devient un facteur de succès.
Quelques étapes pour
définir des objectifs de sensibilisation à la cybersécurité
Étape 1 : analyse des
besoins spécifiques de l’organisation
Chaque entreprise a des
défis uniques. Commencer par :
• Auditer les pratiques actuelles en
cybersécurité,
• Identifier les points faibles dans les
comportements des collaborateurs.
Étape 2 : segmentation
des objectifs
Éviter les campagnes
génériques. Segmenter ses objectifs par groupe cible :
• Nouveaux arrivants : initiation aux bases de
la cybersécurité,
• Managers : sensibilisation renforcée sur les
responsabilités,
• Équipes techniques : approfondissement des
concepts avancés.
Étape 3 : fixer des
indicateurs clés de performance (KPIs)
Les KPIs permettent de transformer ses objectifs en métriques tangibles. Exemples de KPIs :
• Taux de participation à la campagne,
• Pourcentage de bonnes réponses aux quiz à
froid,
• Nombre de signalements via des boutons de
phishing,
• Évaluation par étude d’impact.
Étape 4 : communiquer
les objectifs à toutes les parties prenantes
S’assurer que la
direction soutient activement la démarche et que les objectifs sont partagés
avec l’ensemble des équipes. Une vidéo de la direction en introduction d’une
campagne peut grandement motiver les collaborateurs.
Étape 5 : ajuster les
objectifs en continu
Le monde de la cybersécurité évolue constamment. Intégrer un cycle d’amélioration continue pour affiner ses objectifs en fonction des résultats obtenus.