Travail de Bachelor Borboencs

Sensibilisation la scurit du systme
dinformation : Moyens utiliss, impacts

observs, comment amliorer ?
Travail de Bachelor ralis en vue de lobtention du Bachelor HES
par :
Claire-Stefanie BORBON
Conseiller au travail de Bachelor :
Rolf HAURI, Charg denseignement HES
Carouge, le 30 septembre 2013
Haute cole de Gestion de Genve (HEG-GE)
Filire Informatique de Gestion

Dclaration
Ce travail de Bachelor est ralis dans le cadre de lexamen final de la Haute cole de
gestion de Genve, en vue de lobtention du titre de Bachelor en Informatique de
Gestion. Ltudiant accepte, le cas chant, la clause de confidentialit. L'utilisation
des conclusions et recommandations formules dans le travail de Bachelor, sans
prjuger de leur valeur, n'engage ni la responsabilit de l'auteur, ni celle du conseiller
au travail de Bachelor, du jur et de la HEG.
Jatteste avoir ralis seule le prsent travail, sans avoir utilis des sources autres
que celles cites dans la bibliographie.
Fait Carouge, le 30 septembre 2013
Claire-Stefanie Borbon
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie i
Remerciements
Tout dabord, je tiens remercier Monsieur Rolf HAURI qui ma suivi tout au long de ce
travail et sest toujours montr disponible pour rpondre mes questions. Ses conseils
et ses relectures mont permis daiguiller mes recherches.
Je remercie galement les trois professionnels des entreprises prives, et tous les
collaborateurs de la Haute Ecole de Gestion et de la Haute Ecole de Sant de Genve
qui ont pris du temps pour rpondre mes interviews. Leurs prcieuses rponses
mont permis daboutir ce prsent travail.
Enfin, je tiens aussi remercier mes parents pour leur soutien, leurs relectures
attentives et leurs suggestions de lecture.
BORBON Claire-Stefanie ii
Rsum
Une entreprise doit pouvoir assurer la valeur de ses informations, comme ses
informations commerciales, clients, fournisseurs ou sous-traitants, ou encore ses
secrets de fabrication. Elle doit aussi protger son patrimoine ou encore son savoir-
faire, afin de rester comptitive sur le march conomique et prserver sa rputation.
Pour pallier aux diffrents types de menaces qui psent sur son systme dinformation,
une entreprise doit mettre en place un ensemble de moyens techniques,
organisationnels, juridiques et humains, pour protger ses ressources et garantir ses
activits.
Dans ce travail, nous nous sommes concentrs spcifiquement sur les mesures
humaines, qui visent informer, former et sensibiliser les employs de lentreprise.
Pour rpondre cette problmatique, nous avons dans un premier temps cern le rle
et les enjeux de la scurit du systme dinformation, afin de comprendre dans quel
contexte la sensibilisation doit seffectuer.
Nous avons ensuite analys les raisons pour lesquelles il est important de sensibiliser
les employs. Les mthodes recommandes par les organismes mondialement
reconnus pour mener bien une campagne de sensibilisation, sont aussi couvertes
dans ce document.
Pour finir, nous avons propos une approche pour amliorer la sensibilisation au sein
des deux Hautes Ecoles Spcialises de Genve, pour rduire le facteur de risque
humain qui pse sur son systme dinformation.
BORBON Claire-Stefanie iii
Table des matires
Dclaration......................................................................................................... i
Remerciements ................................................................................................ ii
Rsum ............................................................................................................ iii
Table des matires .......................................................................................... iv
Liste des tableaux .......................................................................................... vii
Liste des figures............................................................................................. vii
1. Introduction................................................................................................ 1
1.1 Problmatique ................................................................................................. 1
1.2 Mthodologie de travail.................................................................................. 1
2. Rle et enjeux du systme dinformation ................................................ 3
2.1 Linformation ................................................................................................... 3
2.2 Le systme dinformation .............................................................................. 3
2.2.1 Types de menaces .................................................................................... 4
2.2.2 Consquences........................................................................................... 5
2.3 La scurit du systme dinformation .......................................................... 5
2.3.1 Principes fondamentaux de la scurit...................................................... 5
2.3.2 Responsable de la scurit du systme dinformation .............................. 6
2.3.3 Types de mesures de scurit .................................................................. 7
3. Le facteur risque humain .......................................................................... 9
3.1 Dfinition ......................................................................................................... 9
3.2 Limportance de ce risque ........................................................................... 10
3.3 Les vecteurs de menaces ............................................................................ 12
4. La sensibilisation .................................................................................... 15
4.1 Dfinition ....................................................................................................... 15
4.2 Dimensions ................................................................................................... 16
4.3 Pour quelles raisons sensibiliser................................................................ 18
4.3.1 Peu conscients de limportance de la scurit ........................................ 18
4.3.2 Nouvelle gnration, nouveaux risques .................................................. 19
4.4 Intgrer la sensibilisation dans le processus de scurit ........................ 21
4.5 Statistiques actuelles en entreprise ........................................................... 23
4.5.1 Baisse des programmes de sensibilisation ............................................. 23
4.5.2 Personnel ddi....................................................................................... 24
4.5.3 Budget ..................................................................................................... 24
4.6 Conclusion .................................................................................................... 25
5. Processus de sensibilisation ................................................................. 26
5.1 Norme ............................................................................................................ 26
BORBON Claire-Stefanie iv
5.1.1 Norme ISO 27002.................................................................................... 26
5.2 Mthodes ....................................................................................................... 30
5.2.1 Planification ............................................................................................. 32
5.2.2 Conception .............................................................................................. 33
5.2.3 Diffusion................................................................................................... 34
5.2.4 Evaluation ................................................................................................ 34
5.2.5 Maintenance ............................................................................................ 35
5.3 Comment adapter la communication.......................................................... 36
5.3.1 Convaincre, communiquer et impliquer ................................................... 36
5.3.2 Message court et original ........................................................................ 36
5.3.3 Moyen interactif ....................................................................................... 37
5.3.4 Tester les connaissances ........................................................................ 37
5.4 Les canaux de communication ................................................................... 38
5.5 Solution informatique................................................................................... 39
5.6 Conclusion .................................................................................................... 39
6. Dans la ralit .......................................................................................... 40
6.1 Interviews - secteur priv............................................................................. 40
6.1.1 Banque .................................................................................................... 40
6.1.2 Multinationale .......................................................................................... 42
6.1.3 PME ......................................................................................................... 45
6.1.4 Impacts de la sensibilisation dans le secteur priv.................................. 47
6.2 Interviews - Hautes Ecoles Spcialises .................................................... 48
6.2.1 Haute Ecole de Sant.............................................................................. 48
6.2.2 Haute Ecole de Gestion........................................................................... 51
6.2.3 Impacts de la sensibilisation en HES ...................................................... 53
6.2.4 Conclusion ............................................................................................... 54
7. Mise en place dans un cas concret ........................................................ 55
7.1 Planification de la sensibilisation ............................................................... 56
7.1.1 Acteurs impliqus .................................................................................... 56
7.1.2 Organisation ............................................................................................ 57
7.1.3 Evaluation du budget obtenir ................................................................ 57
7.2 Conception du programme de sensibilisation........................................... 58
7.2.1 Groupes dutilisateurs cibles.................................................................... 58
7.2.2 Messages cibls ...................................................................................... 60
7.2.3 Contenu adapt de la sensibilisation ....................................................... 60
7.2.4 Moyens de communication adapts ........................................................ 62
7.3 Diffusion du programme de sensibilisation ............................................... 64
7.4 Evaluation du programme de sensibilisation ............................................ 64
7.4.1 Besoin de sensibilisation ......................................................................... 65
7.5 Maintenance sur le long terme .................................................................... 66
BORBON Claire-Stefanie v
7.5.1 Frquence du programme et des rvisions ............................................. 66
7.5.2 Contenu de la communication de sensibilisation..................................... 66
7.5.3 Nouveaux collaborateurs ......................................................................... 66
7.6 Conclusion .................................................................................................... 67
8. Synthse................................................................................................... 68
Bibliographie .................................................................................................. 69
Annexe 1 : Canaux de communication proposs ....................................... 73
Annexe 2 : Mail de rponse ........................................................................... 78
Annexe 3 : Interviews des entreprises prives............................................ 79
Annexe 4 : Interviews la Haute Ecole de Sant ........................................ 85
Annexe 5 : Interviews la Haute Ecole de Gestion................................... 104
Annexe 6 : Plan Phase 1 - Planification................................................... 116
Annexe 7 : Plan Phase 2 Conception ................................................... 117
Annexe 8 : Plan Phase 3 Diffusion Etape 1 ....................................... 118
Annexe 9 : Plan Phase 3 Diffusion Etape 2 ....................................... 119
Annexe 10 : Plan Phase 4 Evaluation Etape 1 .................................. 120
Annexe 11 : Plan Phase 4 Evaluation Etape 2 .................................. 121
Annexe 12 : Plan Phase 5 Maintenance ............................................... 122
Annexe 13 : Canaux de communication non adapts .............................. 123
Annexe 14 : Affiches de sensibilisation ..................................................... 124
BORBON Claire-Stefanie vi
Liste des tableaux
Tableau 1 : Principes de scurit fondamentaux de linformation................................... 6
Tableau 2 : Vecteurs de risques engendrs par lemploy ........................................... 12
Tableau 3 : Dimensions de la sensibilisation ................................................................ 18
Tableau 4 : Acteurs impliqus et leurs responsabilits ................................................. 56
Tableau 5 : Groupes dutilisateurs cibls et les objectifs de sensibilisation .................. 59
Tableau 6 : Messages faire passer auprs des groupes cibles ................................. 60
Tableau 7 : Contenu de la sensibilisation adapt aux groupes cibles .......................... 61
Tableau 8 : Canaux de sensibilisation adapts aux utilisateurs.................................... 63
Tableau 9 : Moyens dvaluation de la campagne de sensibilisation ........................... 65
Liste des figures

Figure 1 : Sources dincidents de scurit en 2008 ...................................................... 10
Figure 2 : Le top trois des menaces de scurit en 2013 ............................................. 11
Figure 3 : Cycle dapprentissage la scurit des informations ................................... 16
Figure 4 : Dimensions de la sensibilisation en quatre axes .......................................... 17
Figure 5 : Manque de consciente suffisante de la part des employs .......................... 18
Figure 6 : La menace la plus importante en 2012 ......................................................... 19
Figure 7 : Pourcentage de plan de sensibilisation dans les entreprises de 2006 2011
...................................................................................................................................... 23
Figure 8 : Manque de professionnels qualifis.............................................................. 24
Figure 9 : Evolution pour 2013 du budget pour la sensibilisation en entreprise............ 24
Figure 10 : Obstacle majeur en 2012 ............................................................................ 24
Figure 11 : La pyramide de la sensibilisation ................................................................ 25
Figure 12 : Processus de sensibilisation base sur la norme ISO 27002:2005 ............ 29
Figure 13 : Cycle de vie dun programme de sensibilisation selon Microsoft ................ 30
Figure 14 : Cycle de vie dun programme de sensibilisation, selon lENISA ................. 31
Figure 15 : Cycle de vie dun programme de sensibilisation ......................................... 31
Figure 16 : Exemple daffiches dans les lieux communs de lentreprise ....................... 43
BORBON Claire-Stefanie vii
1. Introduction
Lide de ce travail de Bachelor nous est venue dans le cadre de notre travail au sein
du service informatique de la Haute Ecole de Sant de Genve. En effet, nous
sommes souvent confronts des utilisateurs qui ne prtent pas forcment attention
la scurit de leur ordinateur ou de leurs documents.
Cette problmatique, nous lavons rencontre durant nos tudes. En classe, les
professeurs ont souvent mis le doigt dessus, en nous expliquant combien un systme
dinformation est important au sein dune entreprise, car il permet celle-ci dassurer
ses activits stratgiques et oprationnelles.
Surtout quactuellement, toutes proportions gardes, avec les diffrents incidents de

fuites dinformations dans les banques, les agences gouvernementales, et le rcent
incident1 qui a eu lieu la Haute Ecole de Gestion de Genve, les utilisateurs
devraient y tre sensibiliss.
1.1 Problmatique
Alors pourquoi ne le sont-ils pas ? Est-ce que le service informatique donne des
consignes pour scuriser un ordinateur ? Est-ce que les ressources humaines
expliquent comment scuriser les informations ? Est-ce que tout simplement, ils ne font
pas attention parce que les consignes sont trop contraignantes ? Ce sont des
questions auxquelles nous souhaitons rpondre en effectuant ce travail, tant par
curiosit personnelle et mise en relation avec ce qui est tudi en cours, que dans le
but de proposer une solution pour rduire lcart de comprhension entre la direction,
le service informatique et les utilisateurs du systme dinformation.
1.2 Mthodologie de travail

Pour mener bien ce travail et rpondre notre problmatique, il sagit dans un
premier temps de cerner le rle et les enjeux de la scurit du systme dinformation,
afin de comprendre dans quel contexte la sensibilisation doit seffectuer, et ainsi
dmontrer limportance dun systme dinformation pour une entreprise.
Ensuite, nous nous focaliserons notre travail sur le niveau humain de la scurit. Nous
dfinirons le facteur de risque humain, dans le but de dterminer ses spcificits, quel
1
TONINATO, Aurlie. La Haute Ecole de gestion victime dune grosse fraude : 270 lves doivent
repasser lexamen ! In : Tribune de Genve [en ligne]. Dernire modification le 21.02.2012.
http://www.tdg.ch/geneve/actu-genevoise/haute-ecole-gestion-victime-grosse-fraude-270-eleves-
doivent-repasser-lexamen/story/28574846
BORBON Claire-Stefanie 1
est son importance au sein dune entreprise et comprendre pourquoi il existe des
mesures humaines de scurit.
Nous passerons ensuite la sensibilisation, que nous analyserons et nous tenterons

de comprendre pour quelles raisons il est important de sensibiliser les employs.
Puis, nous expliquerons quelles sont les mthodes recommandes par les organismes
mondialement reconnus pour mener bien une campagne de sensibilisation au sein
dune entreprise.
Enfin, nous sommes alls sur le terrain interviewer des collaborateurs dans
diffrentes entreprises prives, ainsi que dans deux Hautes Ecoles Spcialises pour
recueillir leur point de vue et comprendre comment la sensibilisation est mise en place.
Pour finir, nous proposerons, avec les moyens prconiss par les organismes
reconnus, une approche pour amliorer la sensibilisation au sein des deux Hautes
Ecole Spcialises de Genve.
Nous avons tent dans la mesure du possible de rechercher des sources actualises,
dans un souci de ralisme et defficacit.
2. Rle et enjeux du systme dinformation
2.1 Linformation
Tout dabord, il faut comprendre quune entreprise sans aucune forme dinformation
nest pas une entreprise. En effet, sest une composante intrinsque toute entit,
cest un flux de donnes vitales pour la bonne marche dune entreprise. Nous
pourrions comparer limportance de linformation au systme cardio-vasculaire dun
tre vivant.
Linformation2 est au cur de toutes activits stratgiques et oprationnelles, qui

permet une entreprise datteindre ses objectifs. Elle est non seulement gnre
lintrieur dune entreprise, mais elle est aussi change avec lextrieur de lentit.
Son rle est daider, entre autre, la rflexion, la prise de dcision, la construction
dun savoir-faire, ou encore lexcution oprationnelle. Elle officie aussi comme
mmoire des actions passes (Larbi, 2006). En dautres termes, elle gnre et fournit
des lments cls qui permettent lactivit et le dveloppement dune entreprise.
Par consquent, pour que linformation puisse tre utilise travers et lextrieur de
lentreprise et transmettre son savoir aux diffrents organes de lentit, un systme a
t mis en place, cest le systme dinformation.
2.2 Le systme dinformation

Un systme dinformation (SI) est un ensemble organis de ressources humaines,
organisationnelles, logiciels et matriels, permettant de grer linformation qui est
collecte, traite, stocke, partage, communique, scurise, archive ou mme
dtruite, ncessaire pour garantir les activits et latteinte des objectifs dune
entreprise. (Adonidis-Flckiger, 2013, p.9)
Si lentreprise tait un tre vivant, nous pourrions comparer le fonctionnement et

limportance du SI au systme nerveux. Il permet le traitement de linformation
recueillie tous les niveaux de lentreprise et de prendre les dcisions qui simposent
grce elle.
Aujourdhui, le SI est presque entirement informatis. Le systme informatique est

une composante cruciale du SI dans une entreprise. En effet, depuis plusieurs dizaines
dannes, les utilisateurs du SI utilisent des ressources informatiques pour leur travail
2
Bien que donnes et informations reprsentent des concepts diffrents, nous avons dcid de les
grouper sous le terme gnral dinformation.
quotidien. Cest devenu un outil majeur et usuel qui fait partie intgrante dune
entreprise.
Ce systme informatique est compos dun ensemble de moyens technologiques,

comme la tlphonie, les rseaux, les logiciels, le matriel et les bases de donnes,
permettant de grer de manire lectronique le SI dune entit et de faciliter la
transmission des informations lintrieur et lextrieur de celle-ci. (Adonidis-
Flckiger, 2013, p.11)
2.2.1 Types de menaces

Mais comme pour tout systme, un SI est vulnrable. Cest pourquoi, il est ncessaire
de scuriser au mieux celui-ci contre de potentielles menaces intentionnelles ou non.
Ces menaces sont de trois types distincts :
les accidents ;
les erreurs ;
la malveillance.
Les accidents sont dorigine naturelle ou matrielle, comme une inondation ou un
dysfonctionnement technique (Boulet, 2007). Ceux-ci dtriorent ou provoquent
gnralement lindisponibilit partielle ou totale du systme.
Les erreurs, elles, sont dorigine humaine, comme les erreurs dinattention, de
ngligence, ou encore dincomptence (Boulet, 2007). Celles-ci nengendrent pas
forcment lindisponibilit immdiate, mais peuvent compromettre une partie ou la
totalit du systme ou encore le rendre inaccessible durant un certain temps.
Le dernier type de menace est la malveillance. Elle aussi est dorigine humaine, mais
celle-ci englobe les attaques logiciels, le vol dinformation, ou encore le vandalisme sur
le matriel de lentreprise (Boulet, 2007). Ces attaques sont intentionnelles, et sont
perptres dans le but de nuire lentit vise.
2.2.2 Consquences
Ces diffrentes menaces peuvent engendrer des consquences graves pour une
entreprise. Si elles venaient se concrtiser, elles porteraient atteinte :
aux activits stratgiques et oprationnelles de lentreprise ;

son savoir-faire ;
sa rputation et son image, donc par extension la confiance que lui
portent ses partenaires commerciaux3 (clients, sous-traitants ou fournisseurs).
De l, peuvent dcouler de lourdes pertes financires, des consquences importantes
sur le plan juridique ou encore mettre en danger les activits de lentreprise, et donc
par extension son existence (Boulet, 2007).
2.3 La scurit du systme dinformation

Linformation constitue un bien important pour lorganisme; elle est ce titre un
lment important de lactivit de lorganisme et elle ncessite une protection
adquate. (Norme ISO 27002 : 2005, p. viii)
Comme nous lavons expliqu au dbut de ce travail, une entreprise doit pouvoir
assurer la valeur de ses informations, telles que ses informations commerciales, les
bases de donnes de sa clientle, de ses fournisseurs ou sous-traitants, ou encore ses
secrets de fabrication. Elle doit aussi protger son patrimoine ou encore son savoir-
faire, afin de rester comptitive sur le march conomique et prserver sa rputation.
Pour pallier aux diffrents types de menaces tablis auparavant, qui psent sur son
systme dinformation, une entreprise doit mettre en place un ensemble de moyens
techniques, organisationnels, juridiques et humains, pour protger ses ressources et
garantir ses activits. Ainsi, elle prvient les diffrents risques dincidents au niveau
physique, au niveau logiciel, niveau juridique, ainsi quau niveau humain (Cal,
Touitou, 2007). Avec ces mesures, elle protge son SI et vite de lourdes pertes
financires et dimportantes consquences juridiques qui pourraient tre nfastes
son activit.
En dautres termes, lobjectif de la scurit du systme dinformation (SSI) est dviter

de mettre en pril la continuit des activits cls de lentreprise.
2.3.1 Principes fondamentaux de la scurit

Lentreprise doit assurer certains principes de scurit fondamentaux pour les
informations quelles grent quotidiennement, et ainsi certifier auprs de ses employs
3
Par partenaires commerciaux nous dsignons, tout au long de ce travail, les clients, les sous-
traitants et les fournisseurs.
et partenaires commerciaux, de la vracit de celles-ci. Ces principes sont les
suivants :
Tableau 1 : Principes de scurit fondamentaux de linformation
Principes Explications
Disponibilit Qui permet de garantir laccs un service ou des ressources.
Intgrit Qui garantit que les donnes sont bien celles que lon croit tre,
quelles nont pas t altres [...].
Confidentialit Qui consiste rendre linformation inintelligible dautres
personnes que les seuls acteurs de la transaction.
Authentification Qui consiste assurer lidentit dun utilisateur, c'est--dire
garantir chacun des correspondants que son partenaire est bien
celui quil croit tre.
Non-rpudiation Qui est la garantie quaucun des correspondants ne pourra nier la
transaction.
(Pillou, Bay, 2005, p. 205-206)
2.3.2 Responsable de la scurit du systme dinformation

Le responsable de la scurit du systme dinformation [] est lauteur et le
chef dorchestre de la scurit du systme dinformation de lentreprise.
(Doucende, 2009)4
Lentreprise nomme un responsable qui a la charge de protger son SI. Pour cela, il
doit mettre en place une politique de scurit du systme dinformation qui tient compte
de tous les processus mtiers et leurs spcificits dans lentreprise (Harle, Skrabacz,
2004). Le responsable sassure que la politique est adapte au SI de lentreprise,
quelle est applique par tous et garantit quelle reste efficace et pertinente pour les
activits stratgiques et oprationnelles de lentit. (Cal, Touitou, 2007)
En plus de rester niveau du point de vue technologique, ainsi que davoir de bonnes
connaissances des mtiers de son entreprise, le responsable doit connatre la
lgislation concernant le traitement des donnes informatiques et la protection de la
personnalit de ses collaborateurs (CLUSIF, 2013). Ces connaissances doivent lui
servir lors de la cration de la politique de scurit du systme dinformation de
lentreprise.
4
DOUCENDE, Bruno. Scurit des Systmes dInformation [en ligne]. Livre Blanc. Marseille :
Groupe 4, 4IM SAS, 2008. Page 29.
http://www.globalsecuritymag.fr/IMG/pdf/Livre_Blanc_SSI_v1.pdf
2.3.3 Types de mesures de scurit
Le systme dinformation reprsente un patrimoine essentiel de lentreprise,
quil convient de protger. (Pillou, Bay, 2005, p.205)
Les mesures de scurit dont nous avons parl rapidement la page prcdente, sont
mises en place dans le but de prvenir et dempcher du mieux possible, dans un
premier temps, les menaces qui psent sur le SI dune entreprise. Mais aussi dans un
deuxime temps, sauvegarder et rcuprer les donnes corrompues ou perdues selon
lincident et permettre la continuit de lactivit mme en cas dindisponibilit du
systme.
Ces mesures sont les suivantes :
Les mesures techniques
Ce sont des mesures tant au niveau matriel quau niveau logiciel qui sont
intgres au systme informatique de lentreprise pour protger le SI. Elles
permettent de filtrer les diffrentes menaces logicielles, dviter des vols
dinformation, ou dempcher une intrusion. Ces mesures se traduisent par la
mise en place entre autres dantivirus, de pare-feu, de dtection dintrusion, de
cryptage, ou encore de cl daccs lectronique. (Cal, Touitou, 2007)
Les mesures organisationnelles
Ce sont des mesures de management. Elles expliquent comment tablir une

culture de la SSI au sein de lentreprise, comment grer la scurit, comment
ragir en cas dincident ou encore comment rcuprer les informations, afin
dassurer la continuit des activits stratgiques et oprationnelles de
lentreprise. Ces mesures se traduisent par une politique de scurit du
systme dinformation, une gestion des risques, ou encore la classification du
degr de confidentialit. (Cal, Touitou, 2007)
Les mesures juridiques
Ce sont des mesures lgales applicables la scurit du SI. Ces dernires

sont mises en place afin dviter que sur le plan juridique lentreprise soit tenue
responsable en cas dincident. Lentreprise doit tablir une politique de gestion
juridique du risque informatique. Celle-ci doit se baser sur une charte
dutilisation des outils informatiques dfinissant les droits et les obligations de
chaque utilisateur, la dsignation dun responsable charg de la SSI, la
souscription de contrats dassurance adapts et une valuation rgulire des
risques et des mesures de scurit appropries. (Cal, Touitou, 2007)
Les mesures humaines
Ce sont des mesures qui visent informer, former et sensibiliser les employs
de lentreprise, tant de manire prventive que de manire rtroactive. Elles
permettent aux utilisateurs du SI et par extension du systme informatique, de
prendre conscience des diffrents types de risques quils font encourir au SI de
leur entreprise par un mauvais usage de la technologie (Cal, Touitou, 2007).
Ces mesures doivent en principe tre transmises lors de lengagement de
lemploy, ainsi que lors de programmes de sensibilisation la SSI de
lentreprise ddis aux collaborateurs. (Norme ISO 27002:2005)5
Cest par ce type de programme quune entreprise peut rduire le facteur de risque
humain qui pse sur son SI. Comme lexplique un professionnel dans le domaine de la
scurit des systmes dinformation :
Sensibiliser tout simplement les collaborateurs aux cybers menaces pouvant

les impacter [] et aux moyens de se dfendre contre ces dernires aura
galement un impact fort sur la scurit de lentreprise. Certaines menaces parmi
les plus virulentes [..] seront mieux repousses par des employs sensibiliss.
(Gratiolet, 2013)6
La suite de ce travail est ddie la dfinition du facteur de risque humain et aux
mesures de scurit au niveau humain que nous pouvons mettre en place pour aider
rduire ce risque.
5
Voir le chapitre Mthodologie, concernant la norme 27002:2005 p.25
6
GRATIOLET, Franois. Sensibilisation la cyber-scurit : se prmunir des vulnrabilits dorigine
humaine. In : Le Cercle Les Echos [en ligne]. 2013.
http://lecercle.lesechos.fr/entrepreneur/tendances-innovation/221177184/sensibilisation-a-cyber-
securite-premunir-vulnerabilites
3. Le facteur risque humain
Mais avant den venir aux solutions pour rendre un employ acteur de la scurit au
sein de son entreprise, intressons-nous au pourquoi. Pourquoi lemploy est-il un
facteur de risque au sein dune entreprise ? Quest-ce quun employ peut bien faire
pour rendre vulnrable le SI dune entreprise et attent la scurit de linformation ?
Ce sont des questions auxquelles nous allons tenter de rpondre dans ce chapitre.
3.1 Dfinition
Tout dabord, que signifie un facteur de risque humain : [] source de risque [...]
dont le dclenchement est d l'action de l'homme. (Wikipdia, 2013)
Ce facteur de risque peut tre soit involontaire de la part dun tre humain, comme une
erreur due au stress, la fatigue ou encore d lintervention dun tiers. Soit
volontaire, c'est--dire que lacte est fait de manire consciente ou dlibre.
(Wikipdia 2013)
Nous pouvons donc dterminer, selon ces deux dfinitions, que le facteur de risque au
niveau humain, veut dire de manire simple : une source de risque potentielle
dclenche par laction de lhomme de manire volontaire ou involontaire.
Pour terminer, ce facteur de risque a deux origines :
Endogne : c'est--dire quil est gnr par lorganisation elle-mme ou

lintrieur du primtre quelle contrle ; (Wikipdia, 2013)
Exogne : cest quil est gnr lextrieur du primtre de contrle de

lentreprise. (Wikipdia, 2013)
Nous expliciterons par des exemples ces origines au dernier point de ce chapitre.
3.2 Limportance de ce risque
En 2012, le directeur technique de Check Point Software Technologies7, tablit que le
facteur humain est lune des trois sources principales de vulnrabilits dans une
entreprise. Le directeur explique quun employ peut commettre des erreurs ou faire
preuve de ngligence, ou encore dlibrment organiser une fuite dinformations.
Ce qui reprend les notions que nous venons dtablir, c'est--dire quun employ est un
facteur de risque qui par ses actes involontaires ou volontaires peut rendre vulnrable
la scurit des informations dune entreprise. Dailleurs, le CLUSIR explique dans lune
de ces prsentations : Le maillon faible de la scurit informatique est souvent le
facteur humain 8. Et nous met en garde :
La principale menace contrairement ce que lon pourrait penser, ne vient pas

de lextrieur mais il sagit bien du facteur humain cest--dire de lutilisateur [
lintrieur de lentreprise]. (CLUSIR, 2005, p.4)
Avec ces explications dexperts en scurit, nous pouvons donc estimer quune
entreprise ne pense pas toujours qu lintrieur mme de ses murs, il peut y avoir un
risque intentionnel ou non, de la part dun collaborateur qui provoquerait des
consquences dramatiques pour son activit. En effet, en 2008, selon le sondage
publi par PricewaterhouseCoopers, 50% des incidents de scurit provenaient des
collaborateurs ou ex-collaborateurs.
Figure 1 : Sources dincidents de scurit en 2008
(PricewaterhouseCoopers, 2008, p.27)
7
Lentreprise Check Point Software Technologies est leader mondial de la scurit informatique.
Scurit informatique Prvention des menaces en entreprise. Info Expoprotection. 2012.
8
GOMAS, Olivier, RAISIN, Yves, ROZIER, Richard. Le facteur humain. In : CLUSIR Rhne-Alpes
[en ligne]. Page 3. http://www.clusir-rha.fr/sites/default/files/upload/Lyon/SS
I/CLUSIR_FACTEUR%20HUMAIN_161903.pdf
En 2013, lemploy est toujours une des principales sources dincidents pour
lentreprise, selon une tude effectue par Deloitte. Ce sont les erreurs et les
omissions des employs qui hauteur de 73%, reprsentent une des trois principales
menaces pour lentit.
Figure 2 : Le top trois des menaces de scurit en 2013
(Deloitte, 2013, p.8)
Dans son rapport de 2012, la centrale fdrale d'enregistrement et d'analyse pour la

sret de l'information indique que : les mcanismes techniques de scurit, bien
quindispensables, noffrent pas une protection 100 %. en parlant du nouvel usage
fait par les employs des technologies professionnelles de linformation, titre
personnel. Nous pouvons donc dduire que mme si une entreprise protge son SI par
des mesures techniques, celles-ci ne permettent pas apparemment de contrer les
actions de ltre humain sur son systme dinformation. (MELANI, 2012, p.26)
Par exemple, un employ peut faire des erreurs dinattention en discutant avec une
personne extrieure ou en envoyant des informations sensibles par erreur un client
ou un fournisseur, surtout si celui-ci est soumis un stress quelconque un moment
donn. Il peut faire des erreurs dans la manipulation dun logiciel, ou dun quipement,
parce quil na pas les connaissances ou la formation ncessaires pour les utiliser. Ou
encore faire preuve de ngligence en laissant trainer des informations sensibles sur un
copieur, ou en divulguant des informations confidentielles autour de lui sans penser
aux consquences que cela peut avoir. Enfin, un employ qui a un quelconque grief
contre son employeur ou un collgue peut commettre un vol, ou vandaliser des
quipements stratgiques dans le but de nuire lun des deux. Ces exemples repris
par beaucoup de professionnels dans le domaine de la SSI, dont le directeur technique
Europe de Check Point Software Technologies, dmontrent bien que lhumain est
complexe et des mesures de scurit ne peuvent tre restreintes des mesures
techniques.
3.3 Les vecteurs de menaces
Tentons donc de comprendre pourquoi un employ fait toujours partie en 2013 dune
des trois plus importantes menaces pour le SI dune entreprise.
Deloitte, dans son tude, avance une rponse. Lentreprise explique que les
utilisateurs sont les premiers manipuler quotidiennement les informations de
lentreprise. De plus, avec lvolution de la technologie, et lutilisation qui en est faite
par les employs, cela ne fait quaugmenter les chances dintroduction de nouveaux
risques pour la scurit de l'information. (Deloitte, 2013, p.10)
Alors pour prciser ce que Deloitte entend par l, nous allons passer en revue les
diffrents vecteurs par lequel un employ peut provoquer un incident durant son travail,
sans sen rendre compte.
Monsieur Henrique Marques, avait dj tabli en 2006 pour son travail de Bachelor, un
premier tableau qui liste et explique les principaux outils quutilise un employ dans
son environnement professionnel et qui peuvent tre vecteurs de risques pour une
entreprise. Nanmoins, nous nous sommes permis de complter le tableau par des
outils ou des consquences qui se sont ajouts au gr de lvolution technologique et
sociale, la liste des outils professionnels utiliss au sein dune entreprise, comme
voqus par les responsables de la scurit.
Tableau 2 : Vecteurs de risques engendrs par lemploy
Vecteurs Consquences
Recevoir un courrier lectronique dun expditeur inconnu et en

ouvrir les pices jointes ou cliquer sur des liens se trouvant dans le
message, peut gnrer des risques dattaque.
Messagerie
Sabonner diverses newsletters avec son adresse lectronique
professionnelle peut galement gnrer des spams ou provoquer
une faille dans la protection du systme.
Naviguer sur des sites non professionnels, tel que des pages
Internet
douteuses, peut gnrer des virus ou des logiciels espions.
Partager sa vision personnelle de son entreprise sur les rseaux
sociaux, peut nuire limage ou la rputation dune entreprise.
De plus, selon la nature des messages, cela peut engendrer de
Rseaux sociaux graves consquences stratgiques et scuritaires pour une entit
et ses employs.
Naviguer sur les rseaux sociaux et cliquer sur des liens douteux,
peut aussi provoquer linfection dun ordinateur.
Tlcharger des applications sur internet ou via un autre support
Applications
personnel, peut introduire au sein de lentreprise des virus ou des
personnelles
logiciels espions entre autres.
Connecter un ordinateur personnel sur le rseau informatique de
lentreprise, peut aussi introduire ce genre de menaces. Soit si
Ordinateur
lordinateur lui-mme est infect par un type de virus, soit si celui-ci
personnel
est sous contrle dun individu malveillant qui peut gnrer une
attaque de lextrieur9.
Brancher un mdia tel que Smartphone, tablette, lecteur de
Supports musique, cl USB, disque externe, peut aussi transmettre des
personnels infections au SI de lentreprise, car il se peut quun de ces outils ait
t infect auparavant.
Donner des informations concernant lentreprise une personne
Ingnierie sociale extrieure celle-ci, peut compromettre la SSI et permettre une
attaque contre lentit.
Envoyer limpression un document et ne pas rester ct de
celui-ci jusqu rcuprer le document en main propre, peut porter
Copieur
atteinte la confidentialit des informations et engendrer
dimportante consquences.
Ne pas dtruire de documents confidentiels avant de les jeter la
Poubelle poubelle, peut nuire lentreprise, et engendrer comme ci-dessus
dimportantes consquences.
Casier ouvert Mettre des documents importants, ou confidentiels dans un casier
pour la ouvert, peut nuire la confidentialit des informations, ainsi quau
correspondance SSI.
Travailler lextrieur de lentreprise peut poser des problmes de
confidentialit ou de disponibilit des informations. Des documents
Hors du lieu de
peuvent traner, un individu peut regarder par-dessus lpaule de
travail
lemploy ou celui-ci peut oublier des documents importants sur
place.
Faire une erreur, avoir un mot de passe peu complexe, perdre ou
oublier une carte/cl daccs ou un support de stockage contenant
des informations sensibles, peut provoquer de graves
consquences.
Employ
De plus, un employ contrari envers son entourage professionnel,
peut attaquer, voler, partager, dtruire ou altrer des informations
ou du matriel appartenant son employeur dans le but de se
venger ou satisfaire son besoin de reconnaissance.
(Marques, 2006, p.9)
Aprs avoir list les diffrentes voies par lesquelles un employ peut provoquer un
incident, ainsi que les consquences que cela peut engendrer sur le SI de lentreprise,
nous pouvons donc en conclure quun employ est effectivement une menace leve
pour lentreprise. Dautant plus quune mauvaise manipulation est imprvisible pour
une entreprise, surtout si un employ nest pas inform de limpact de ses
9
Pour illustrer, voici un exemple dintrusion via un ordinateur portable personnel :
Deloitte. Situation de cyber attaque susceptible de menacer votre entreprise [en ligne].
http://www.deloitte-france.fr/video/CPL/video.htm, dure : 4 min
manipulations sur le SI. Du reste, Deloitte explique dans son tude, que llment
humain est lune des plus grandes sources de risque, aussi bien que la plus difficile
contrler. (Deloitte, 2013, p.10)
Bien videmment, cela ne veut pas dire qu chaque fois quun collaborateur fera
preuve dinattention dans lutilisation de ces outils, cela engendra un incident. Mais le
risque existe par ces vecteurs et se rpercute sur la confidentialit, la disponibilit,
lintgrit de linformation, la rputation de lentreprise, la scurit du personnel, ainsi
que sur lensemble du SI, qui se voient compromis avec ce genre dutilisation. Cest
pourquoi des mesures de scurit au niveau des ressources humaines existent pour
scuriser le SI de lentreprise.
4. La sensibilisation
Dans ce chapitre nous allons expliquer en dtail ce que signifient ces mesures de
scurit humaines voques prcdemment, ainsi que les avantages amens par la
sensibilisation aux employs.
4.1 Dfinition
Si nous prenons le Wikitionnaire, celui-ci a plusieurs dfinitions proposer pour dfinir
la sensibilisation, mais deux dentre elles ont retenu notre attention.
La premire est la suivante : Cest laction de rendre attentif quelque chose pour
lequel on ne manifestait pas dintrt auparavant. (Wikitionnaire, 2013)
La seconde dfinit la sensibilisation du point de vue biologique, ce qui nous donne un

complment notre premire dfinition et nous rapproche de la raction de ltre
humain.
Processus par lequel un stimulus qui, au pralable, ne dclenche aucune

rponse particulire, acquiert un pouvoir de dclenchement dune rponse, soit
par simple rptition, soit par prsentation dun autre stimulus.
(Wikitionnaire, 2013)
Avec ces deux diffrentes dfinitions, nous pensons pouvoir donner une dfinition
gnrale et complte de ce quest la sensibilisation.
Cest un processus par lequel un stimulus, qui auparavant ne dclenchait

aucune raction ou intrt, permet de rendre rceptif un vnement prcis,
force de rptition.
Maintenant, plaons cette dfinition dans le contexte professionnel, pour comprendre
ce que signifie sensibiliser un employ la scurit des informations de son entreprise.
Pour cela, nous avons recherch une explication auprs dune entit reconnue,
lEuropean Network and Information Security Agency10 (ENISA).
Selon elle, la sensibilisation tente de modifier le comportement et les pratiques des

collaborateurs face la scurit de linformation, dans le but den faire un atout pour
lentreprise. LENISA prcise que la sensibilisation doit seffectuer de manire continue,
en utilisant un large panel de mthodes de communication, et constitue une partie de
la stratgie de scurit dans une entreprise.
10
LENISA est lAgence Europenne charge de la scurit des rseaux et de l'information.
4.2 Dimensions
Pour mener bien ce processus quest la sensibilisation, lENISA distingue deux
aspects :
la sensibilisation ;
la formation.
Cest--dire quelle propose une stratgie sur deux dimensions pour rendre attentif les
utilisateurs la scurit des informations, pour que la sensibilisation porte ses fruits
dans la stratgie de la SSI de lentreprise. Elle lexplique dailleurs en ces termes :
La formation vise donc enseigner une personne des aptitudes lui

permettant de remplir une fonction spcifique, tandis que la sensibilisation
cherche fixer lattention dune personne sur un point prcis ou un ensemble de
points. Les aptitudes acquises durant la formation reposent sur la sensibilisation,
notamment sur les notions lmentaires de scurit et le matriel de base.
(ENISA, 2008, p.13)
Nous avons constat quelle nest pas la seule proposer ces deux aspects pour
mener bien un programme de sensibilisation. Effectivement, Microsoft fait aussi cette
distinction. Il explique la diffrence entre sensibiliser et former comme cela :
Le principal objectif du dveloppement de la sensibilisation la scurit des

informations consiste modifier le comportement du personnel en renforant des
pratiques professionnelles acceptables vis--vis de la scurit. Pour parvenir
cet objectif, il est indispensable de faire comprendre les aspects de la scurit
des informations et de permettre aux individus de les appliquer.
(Microsoft, 2006)
Et lillustre comme cela :
Figure 3 : Cycle dapprentissage la scurit des informations
(Microsoft, 2006, p.5)
Nous constatons, en outre, que lENISA11 et Microsoft12 proposent de mettre en place
un moyen dvaluer ce processus de sensibilisation. Le but est dapprcier limpact que
cette campagne de sensibilisation a sur les employs de lentreprise, ainsi que de
dterminer le processus de continuit et de mises jour ncessaires pour le bon
droulement du programme.
Dailleurs, Monsieur Hauri, professeur la Haute Ecole de Gestion de Genve, en

Gouvernance de la scurit du systme dinformation, intgre aussi lvaluation dans le
processus de sensibilisation.
Cependant, le professeur Hauri, dcompose la dimension de sensibilisation ,

propose par les deux organismes, en deux axes distincts. En effet, il propose les
quatre axes suivants :
linformation ;
la communication ;
la formation ;
lvaluation.
Figure 4 : Dimensions de la sensibilisation en quatre axes
(R. Hauri, 2011, p.10)
11
ENISA. Le nouveau guide utilisateur : comment amliorer la sensibilisation la scurit de
linformation. 2008, 110p. http://www.enisa.europa.eu/publications/archive/new-users-guide-fr
12
Microsoft. Facteurs cls pour le dveloppement de programmes efficaces de sensibilisation et de
formation la scurit des informations. In : Sensibilisation la scurit [en ligne]. 2006.
http://technet.microsoft.com/fr-fr/security/cc165442.aspx
Selon eux, les rsultats gnrs par lvaluation donneront les cls pour amliorer ou
redfinir la politique de sensibilisation, daprs les nouvelles menaces apparaissant
avec lvolution de la technologie et de lentreprise.
Expliquons ce que signifient ces diffrents axes stratgiques dans un processus de

sensibilisation, afin de mieux comprendre leur rle sur les utilisateurs.
Tableau 3 : Dimensions de la sensibilisation
Dimensions Explications
Information Tout dabord, il sagit dinformer lutilisateur des dangers existants
dans le cadre de son travail.
Communication Ensuite, il sagit de le sensibiliser face aux risques que ces menaces
peuvent engendrer pour lentreprise ou sur son travail et de lui
expliquer ce quil doit faire pour les viter.
Formation Enfin, il sagit de lui enseigner par des moyens qui limpliquent
consciemment dans le processus de sensibilisation global.
Evaluation Finalement, il sagit de mettre en place un systme dvaluation
continu qui permet de mesurer limpact que cette campagne a eu
sur les employs et la scurit du systme dinformation, pour
ultrieurement lamliorer.
(R. Hauri, 2011, p.10)
4.3 Pour quelles raisons sensibiliser

Ici, nous allons dmontrer pourquoi il est ncessaire de sensibiliser les employs.
4.3.1 Peu conscients de limportance de la scurit

Comme nous lavons vu au chapitre prcdent, les employs ne sont pas forcment
conscients que leurs actes peuvent mettre en pril le SI et par extension lentreprise.
Dailleurs, pour appuyer ce fait, ltude mene par Deloitte pour 2013, montrer que
dans 70 % des entreprises, il y a un manque certain de conscience de la part des
employs quant la scurit des informations quils manipulent. Du reste, Deloitte
explique ensuite que les employs sans une connaissance suffisante de la scurit
des informations, peuvent mettre une entreprise en pril.
Figure 5 : Manque de consciente suffisante de la part des employs
Pour appuyer ce fait, Ernst and Young explique que dans 37% des entreprises
sondes, les responsables de la scurit estiment que la menace qui a le plus
augment pour lentreprise, est linconscience et la ngligence des employs. La perte
dinformations confidentielles cause par linconscience de certains employs a
augment de 25% en 2012, selon le rapport publi par la banque.
Figure 6 : La menace la plus importante en 2012
(Ernst and Young, 2012, p.20)
Rappelons quau chapitre prcdent13, selon Deloitte, la manire dont les employs
utilisent les nouvelles technologies, introduit de nouveaux risques au sein de
lentreprise.
Pour appuyer ce faite les responsables en charge de la scurit interrogs par Ernst
and Youg, explique que selon eux cest d la prolifration des appareils mobiles
personnels et des rseaux sociaux, utiliss tant comme outils professionnels que
comme moyen de rcration.
Pour eux, la frontire entre la vie professionnelle et la vie personnelle sest floute avec
lvolution des technologies de linformation. Par consquent, nous pourrions en
dduire alors, quil y aurait donc une nouvelle menace en plus de linconscience des
collaborateurs, depuis quelques temps.
4.3.2 Nouvelle gnration, nouveaux risques

Nous pourrions faire un parallle entre ce que les responsables charg de la scurit
des systmes dinformation estiment et la vision quexpose ce livre blanc
Sensibilisation la scurit de linformation 2.0 14 concernant lmergence en
entreprise dune nouvelle gnration demploys connects aux nouvelles technologies
de linformation.
Selon les auteurs de ce document, cette gnration comprend les employs ns

durant ces trente dernires annes, donc avec les nouvelles technologies de
linformation telles que nous les connaissons. Ceux-ci sont informs sur les
13
Voir page 11.
14
BENNASAR, Matthieu, BRIGAUD, Julien, COMBES, Ltitia. Sensibilisation la scurit de
linformation 2.0 [en ligne]. Livre Blanc. PARIS : LEXSI INNOVATIVE SECURTIY, 2013. Page 6
https://www.lexsi.fr/sites/default/files/publications/lb_sensibilisation_a_la_securite_de_linformation_
2.0.pdf
Toutes les citations de ce point proviennent de la page 6 de ce livre blanc.
technologies, et sont de plus en plus nombreux dans les entreprises. Daprs les
auteurs, ils rvolutionnent la manire de travailler avec le systme dinformation.
En effet, ceux-ci amnent donc un lment pour tayer la vision des responsables
charg de la scurit, en expliquant que cette gnration raisonne diffremment des
gnrations prcdentes parce quelle a volu avec les nouvelles technologies de
linformation. Daprs les auteurs, ils surestiment leurs connaissances en matire de
scurit des systmes dinformation, car ces utilisateurs pensent mieux maitriser les
outils technologiques que leurs collgues de lancienne gnration. [Ils ont]
limpression de maitriser les SI et ne se donnent pas la peine de lire les
recommandations de scurit. Ils nestiment, donc, pas avoir besoin de respecter la
politique de scurit mise en place par lentreprise, bien quils en soient informs
surtout sils ne la comprennent pas. Les auteurs expliquent que ces utilisateurs
souhaitent comprendre pourquoi ils doivent appliquer ces rgles, sinon ils sont les
premiers la contourner. [Ils] sont bien connus pour sinterroger sans cesse sur la
raison dtre des choses . Enfin, ces utilisateurs ont toute une panoplie de mdias
connects quils utilisent dans leur vie professionnelle et personnelle, ce qui peut nous
laisser penser quils ont une autre approche des technologies que leurs collgues et
traitent donc linformation autrement, cela cre donc une nouvelle faille dans le
systme de scurit de lentreprise.
En consquence, comme les auteurs de ce document le soulignent judicieusement et

ainsi rejoignent ce que pensent les responsables charg de la scurit des systmes
dinformation en entreprise interrogs par Deloitte, cela entraine de nouveaux risques
pour les entreprises. Ces explications font chos ce que nous avons constat dans
les pages prcdentes. Pour finir, ces mmes auteurs estiment que les entreprises
doivent sadapter et tenir compte de ces diffrences gnrationnelles et de lvolution
des technologies pour ajuster leur scurit. Par consquent, toujours selon eux, cela
implique donc de proposer une sensibilisation la scurit des systmes dinformation
qui tient compte de ces explications.
4.4 Intgrer la sensibilisation dans le processus de scurit
Il apparait donc, aprs ces observations, indispensable dintgrer la sensibilisation
dans la scurit des systmes dinformation. Nous avons donc effectu quelques
recherches afin dapprcier ce quen disent les professionnels dans ce domaine. Nous
avons constat, effectivement, quun grand nombre dorganismes expliquent quil ne
faut pas oublier la sensibilisation et la formation des utilisateurs dans le processus de
scurit des systmes dinformation.
Trois organismes franais, parmi dautres, prennent en compte ce point dans les
documents quils ont tablit, dans le but quils servent de guide pour les entreprises.
LAgence nationale de la scurit des systmes dinformation (ANSSI) propose un

Guide dhygine informatique lattention des responsables informatiques pour les
aider assurer la scurit de leurs systmes dinformation.
Rgle 39 - Sensibiliser les utilisateurs aux rgles dhygine informatique

lmentaires. 15
Elle numre 40 rgles, dont parmi elles, une rgle qui vise la sensibilisation des
utilisateurs du systme laide dune charte informatique faire signer. De plus, sur
son site internet, nous pouvons trouver de nombreux conseils concernant les points
scuriser et les messages faire passer auprs des utilisateurs.
La Commission nationale de linformatique et des liberts (CNIL) propose elle aussi un

Guide La scurit des donnes personnelles qui tout comme celui de lANSSI
permet daider les responsables vrifier et assurer les bases de la scurisation dans
leur entreprise. Ce guide numre 17 points prendre en compte, dont le troisime
propose des prcautions lmentaires en matire de sensibilisation, une structure pour
une charte informatique, averti sur ce quil ne doit pas tre fait et ce qui pourrait tre
mis en place en plus des propositions prcdentes.
Il convient de veiller galement ce que les utilisateurs soient conscients des

menaces en termes de scurit, ainsi que des enjeux concernant la protection
des donnes personnelles. 16
15
DUVAUCHELLE, Antoine pour lAgence nationale de la scurit des systmes dinformation. Guide
dhygine informatique [en ligne]. 1re d. Paris : ANSSI, 2013. Page 43.
http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf
16
COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTES. Guide La scurit des
donnes personnelles [en ligne]. Edition 2010. Inconnu : CNIL, 2010. Page 11.
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_securite-VD.pdf
Le Centre national de la recherche scientifique (CNRS) a tablit un document
Politique de Scurit des Systmes dInformation (PSSI) o il explique au chapitre
Principes de mise en uvre de la PSSI , La formation, la sensibilisation et
linformation des diffrents acteurs [] de lentit sont cruciales pour la scurit. .17
De plus, sur internet un grand nombre dentreprises expliquent aussi quil est important
de sensibiliser ces employs afin dviter un incident. Parmi celles-ci nous citerons
Cyberworld Awarness & Security Enhancement Services (Cases), une entreprise
luxembourgeoise, explique lattention des petites et moyennes entreprises sur son
site internet quil est important de prendre des mesures de sensibilisation et appuie sur
le fait que les mesures techniques ne sont pas les seules en matire de scurit. En
outre, elle explique de manire plus exhaustive ce quest la sensibilisation et proposent
des exemples daffiches pour informs ses employs.
Penser sensibiliser et former la totalit de vos employs. L'adoption des

bonnes mesures comportementales par l'ensemble du personnel est une mesure
extrmement importante. En effet, il sagit souvent de dployer davantage
defforts au niveau organisationnel et comportemental quau niveau technique
pour augmenter la scurit de vos informations de manire efficace. 18
17
ILLAND, Joseph pour le Centre national de la recherche scientifique. Politique de Scurit des
Systmes dInformation [en ligne]. 1re d. Inconnu : CNRS, 2006. Page 18.
http://www.dgdr.cnrs.fr/fsd/securite-systemes/documentations_pdf/securite_systemes/pssi-v1.pdf
18
CYBERWORLD AWARENESS & SECURITY SURVEY ENHANCEMENT SERVICES. Se protger
[en ligne]. https://www.cases.lu/fr/la-sensibilisation-et-la-formation.html
4.5 Statistiques actuelles en entreprise
Faisons maintenant un tour dhorizon concernant ltat de la sensibilisation dans les
entreprises au niveau mondial, selon diffrents rapports de statistiques tablis entre
2011 et 2013.
4.5.1 Baisse des programmes de sensibilisation

Selon les rapports de PricewaterhouseCoopers 2011 et 2012, nous pouvons constater
quil y a une nette rduction du taux de mise en place dun plan de sensibilisation, ces
trois dernires annes. Le rapport de 2011 voque de multiples facteurs. Nous
pourrions alors penser cette baisse est en partie due la crise financire qui a
commenc en 2008.
Figure 7 : Pourcentage de plan de sensibilisation dans les entreprises de 2006 2011
60%
2008 2009
50%
54% 53% 2010
49%
40% 2007 2011
2006 42% 43%
39%
30%
20%
10%
0%
Plandesensibilisation
(PricewaterhouseCoopers, 2011 p.30 -2012, p.24)
Ernst and Young, apporte une autre proposition concernant cette baisse de budget.
Selon son rapport, les entreprises ne jugent plus que ce soit lune de leurs priorits
absolues. En fait, elles estiment faire ce quil faut dans ce domaine, et cest pour cela
quelles se concentrent sur dautres priorits en termes de mesures de scurit.* Dans
son rapport, la mesure de sensibilisation des employs est place au dix-septime
rang des priorits en termes de scurit pour les entreprises en 2012, avec seulement
9% dentre elles qui en font une de leur priorit (Ernst and Young, 2012, p.9). Alors que
nous avons constat auparavant que tous les chiffres dmontrent quil serait judicieux
daugmenter les programmes de sensibilisation dans les entreprises.
4.5.2 Personnel ddi
Un programme de sensibilisation ne peut tre efficace, quavec une formation
adquate des collaborateurs la SSI. Dans le rapport dErnst and Young, 43% des
entreprises expliquent que lobstacle le plus important pour former les utilisateurs, en
2012, est le manque de professionnels qualifis dans le domaine de la SSI.
Figure 8 : Manque de professionnels qualifis
En effet, ceux-ci sont coteux et cela a conduit, selon PricewaterhouseCoopers, une

diminution des quipes ddies aux programmes de sensibilisation, de 51% en 2011
47% en 2012. (PricewaterhouseCoopers, 2013, p.20)
4.5.3 Budget
Une meilleure nouvelle pour 2013, 56% des entreprises maintiendront leur budget de
lanne prcdente concernant les mesures de sensibilisation, 38% augmenteront leur
budget et seulement 6% reverront leur budget la baisse. Ces chiffres nous laisser
penser une reprise conomique pour une partie dentre elles et donc une plus
grande capacit budgtaire pour augmenter les mesures de sensibilisation.
Figure 9 : Evolution pour 2013 du budget pour la sensibilisation en entreprise
Nanmoins, lobstacle majeur l'amlioration de la scurit de l'information continue,

en 2012, reste le manque de budget. Cela a t cit par 49% des entreprises
interroges par Deloitte.
Figure 10 : Obstacle majeur en 2012
4.6 Conclusion
En conclusion, comme nous lavons vu, les utilisateurs eux-mmes reprsentent une
grande partie du problme, mais aussi de la solution lorsquil s'agit de scuriser
linformation utilise au sein dune entreprise. Ainsi, lapproche que nous avons dcrite,
permet dinformer lutilisateur, de lui permettre dapprhender les risques, et finalement
den faire un utilisateur avertis.
Figure 11 : La pyramide de la sensibilisation
(R. Hauri, 2011, p.10)
Dailleurs, Hapsis le confirme et nous permet de clore ce chapitre, en nous expliquant

que lemploy est un des maillons crucial de la chane de la stratgie de SSI dans une
entreprise, grce la sensibilisation.
Lhumain : dans un systme sociotechnique, la composante humaine occupe

une place particulire. Elle peut tre source des plus grandes vulnrabilits mais
galement devenir un vritable rempart si les collaborateurs sont correctement
sensibiliss et duqus. Cest la partie auto apprenante du systme. Ainsi, il est
impratif de mettre laccent sur le dveloppement dune culture de scurit et de
protection auprs des ressources humaines de lentreprise. 19
19
HAPSIS. La protection de vos informations dans un environnement complexe [en ligne].
http://www.se-force.com/index.php?option=com_content&view=article&id=116&Itemid=152
5. Processus de sensibilisation
Maintenant que nous avons tabli limportance du facteur humain sur la SSI et les
mesures de scurit au niveau des ressources humaines qui peuvent tre prises, nous
allons regarder ce que des organismes, rputs dans le domaine des systmes
dinformation, proposent comme processus pour rduire le risque humain sur le SI
dune entreprise. Nous regarderons ce qui est prconis en matire de norme
internationale concernant la sensibilisation des employs, puis nous analyserons ce
que proposent des entreprises pour dvelopper un programme de sensibilisation.
5.1 Norme
Dirigeons nous vers lOrganisation Internationale de Normalisation (ISO), premier
producteur de normes au monde et sur laquelle beaucoup dentreprises se basent pour
harmoniser et amliorer, leurs activits. Ce sont des experts mondiaux qui tablissent
des normes dans diffrents domaines et les font ensuite ratifier par lISO. Ceux-ci
dfinissent des exigences, des lignes directrices ou des caractristiques appliquer
rgulirement pour assurer lutilisation correcte des matriaux ou produits, ainsi que de
loptimisation des processus et services communs tout organisme. (ISO, 2013)
Cest pour cette raison que nous allons regarder ce que lISO propose en termes de
SSI au niveau des mesures de scurit humaines.
5.1.1 Norme ISO 27002

Lorganisation a cr une norme 27002:2005 qui tablit un code de bonnes pratiques
pour la gestion de la scurit de linformation. Cette norme sadresse nimporte quel
organisme pour la scurit de son SI. Celui-ci nest pas oblig de tout appliquer au
pied de la lettre, il peut sen inspirer pour mettre en place toute ou partie des
recommandations faites dans cette norme. Ce document fait office de rfrence pour
aider un organisme tablir ses objectifs de scurit et mettre en place sa propre
dmarche de gestion de la scurit. Il fait le tour de 133 mesures de scurit prendre
en compte, pour aider les responsables dans le domaine de la scurit, pour la mise
en place dun Systme de Management de la Scurit de lInformation (SMSI).
Politique de scurit des systmes dinformation
En premier lieu, nous pouvons constater quelle propose dtablir un document qui est
la Politique de scurit des systmes dinformation 20 qui aide la diffusion de la
vision de lentreprise en termes de scurit, auprs de tous ses employs. En outre,
tablir une politique de scurit des systmes dinformation est important pour
permettre de passer en revue les risques quencourt le SI de lentreprise, dans lobjectif
dinstaller diffrentes mesures techniques, organisationnelles, juridiques et humaines
pour pallier ceux-ci et viter une catastrophe dont elle ne pourrait jamais se remettre.
Le CNRS explique :
La politique de scurit des systmes dinformation [] affiche un ensemble de

principes dordre organisationnel [dont la formation et la sensibilisation au point
1.5 du mme chapitre voqu auparavant] et technique caractre prioritaire.
Lensemble constitue un corps de doctrine pour la mise en uvre de la SSI
[] 21
Cest le document de rfrence concernant la SSI au sein de lentreprise. Il dfinit les
objectifs atteindre, les axes principaux suivre et le rglement en matire de scurit
tabli par lentreprise, ainsi que les moyens accords pour y parvenir. Celle-ci
sapplique intgralement toutes personnes autorises utiliser le SI de lentreprise.
Il prend en compte la vision stratgique de lentreprise et montre limportance

quaccorde la direction son systme dinformation. Il doit rester gnral, tre mis
jour intervalle rgulier et utiliser un langage simple et comprhensible, afin que tous
les utilisateurs du SI puissent le comprendre et mettre en pratique ce qui est propos.
Enfin, il explique aux responsables charg de la SSI que le rglement en matire de

scurit ne doit pas entraver lutilisation quotidienne du SI pour viter de contraindre
les employs. Sinon leffet inverse sera obtenu, ceux-ci le contourneront et ce nest
justement pas le but souhait.
En dautres termes, ce document a pour but de servir de guide les employs, mais
aussi pour les responsables dans la mise en place dun systme de scurit technique,
organisationnel, juridique et humain au sein de lentreprise.
20
Norme ISO 27002:2005 - Chapitre 5, p.6
21
ILLAND, Joseph pour le Centre national de la recherche scientifique. Politique de Scurit des
Systmes dInformation [en ligne]. 1re d. Inconnu : CNRS, 2006. Page 17
http://www.dgdr.cnrs.fr/fsd/securite-systemes/documentations_pdf/securite_systemes/pssi-v1.pdf
Scurit lie aux ressources humaines22
En deuxime lieu, cette norme propose un processus gnral de sensibilisation
concernant un employ son arrive dans lentreprise, durant son mandat et son
dpart. Elle trace les lignes directrices pour la mise en place et la vrification dune
communication de sensibilisation dans une entreprise, auprs des employs en
matire de scurit de linformation. (Cal, Touitou, 2007)
Dans le cadre de leurs obligations contractuelles, il convient que les salaris

[...] se mettent daccord sur les modalits du contrat dembauche les liant et le
signent. Il convient que ce contrat dfinisse les responsabilits de lorganisme et
de lautre partie quant la scurit de linformation.
(Norme ISO 27002:2005, p.24)
Tout dabord, la norme prcise quil faut vrifier que le futur employ est la hauteur
des tches potentiellement sensibles que lentreprise aimerait lui confier. Ensuite, elle
prcise quil faut sassurer que le candidat comprenne ses droits et ses devoirs face
la scurit. Cela afin dviter un vol, une fraude ou un mauvais usage des ressources
matrielles mises disposition. Pour ce faire, il faut que lentreprise tablisse un
contrat signer concernant la description claire des tches effectuer, des droits, des
devoirs et des responsabilits en matire de scurit, dans lentreprise.
Il convient que lensemble des salaris dun organisme [] suivent une

formation adapte sur la sensibilisation et reoivent rgulirement les mises
jour des politiques et procdures de lorganisme, pertinentes pour leurs
fonctions. (Norme ISO 27002:2005, p.26)
La norme indique quil faut vrifier durant toute la dure du contrat que les employs
sont conscients des potentielles menaces sur le SI et des responsabilits quils ont
dans la scurit des informations, ainsi que de respecter la politique de scurit et des
bonnes pratiques adoptes, afin de rduire le facteur de risque humain. Pour ce faire,
la norme explique que lentreprise doit faire bnficier ses collaborateurs dune
formation pour les usages scuritaires des ressources matrielles mises disposition,
ainsi quaux procdures et mesures de scurit mise en place. Celle-ci doit se faire ds
le dpart, afin de rduire les menaces encourues sur le systme dinformation, et
juridiques sur lentreprise. De plus, lentreprise doit prsenter ses attentes vis--vis de
son collaborateur, ainsi que les mesures et les politiques de scurit mises en place.
Lattention du collaborateur doit tre attire sur les responsabilits juridiques et les
exigences en matire dutilisation du systme dinformation. Elle prconise que cette
formation soit adapte la fonction, au savoir-faire et aux responsabilits de lemploy.
Enfin, il faut sassurer quil comprenne et reconnaisse les menaces qui psent sur le SI
22
Norme ISO 27002:2005 - Chapitre 8, p.22
et quil sache qui contacter en cas de suspicion. Nous verrons plus loin, que diffrents
organismes proposent des mthodes de sensibilisation adquates pour les
collaborateurs.
Lentreprise peut aussi mettre en place un systme de sanctions pour traiter les cas de
violation du rglement.
Il convient dlaborer un processus disciplinaire formel pour les salaris ayant

enfreint les rgles de scurit. [] Il convient que le processus disciplinaire
formel garantisse un traitement correct et juste des salaris suspects davoir
enfreint les rgles de scurit (Norme ISO 27002:2005, p.26)
Ces mesures sont aussi mises en avant afin de prvenir un risque potentiel dincident,
cela permet daugmenter lattention porte la scurit de la part des employs.
Evidemment, la norme tempre en expliquant que les sanctions doivent tre
proportionnelles limpact que lincident a eu sur le SI et aux risques que celui-ci a fait
courir lentreprise. Cependant, la norme dit que sil est prouv que lincident a
provoqu fait dans le but de nuire intentionnellement, il faut prendre les mesures
ncessaires afin de rompre tout contrat liant les deux parties.
Il convient que les responsabilits relatives aux fins ou aux modifications de

contrats soient clairement dfinies et attribues.
(Norme ISO 27002:2005, p.27)
Enfin, pour garantir la scurit des informations de lentreprise lors de la fin dun
contrat, il faut vrifier que les ressources matrielles mises disposition soient rendues
en tat et que les droits daccs lintrieur du SI et de lentreprise soient supprims.
Nous pourrions rsumer ces grandes lignes de sensibilisation, par le schma ci-
dessous :
Figure 12 : Processus de sensibilisation base sur la norme ISO 27002:2005
Engagement
Duredumandat
Dpart
5.2 Mthodes
Nous avons donc compris que la norme ISO 27002:2005, propose dtablir une
politique de scurit afin de diffuser la vision de lentreprise en matire de scurit
auprs de ses employs, ainsi quun processus de sensibilisation auprs deux depuis
leur engagement la fin de leur contrat en passant par une formation concrte durant
leur mandat. Cependant, bien quelle donne des explications pertinentes et prcises
sur ce qui est attendu en entreprise au niveau de la sensibilisation, elle ne propose pas
de processus exact quant la communication et la formation dun employ. Alors,
nous avons effectu dautres recherches, afin de dterminer comment nous pourrions
mettre en uvre un processus concret de sensibilisation au sein dune entreprise.
Aprs un grand nombre de recherches, nous avons constat que beaucoup

dentreprises et organismes proposent des cours privs de sensibilisation pour les
entreprises dsireuses de former leurs employs. Mais peu proposent rellement de
mthodes ou de guide libre daccs en franais.
Toutefois, nous avons trouv deux grandes entreprises telles que Microsoft23 ou
lENISA24 qui proposent des mthodes organisationnelles et des supports de
communication libres daccs toutes les entreprises, souhaitant mettre en place par
leurs propres moyens une campagne pour sensibiliser leurs utilisateurs.
Figure 13 : Cycle de vie dun programme de sensibilisation selon Microsoft
(Microsoft, 2006, p.10)
23
Microsoft. Facteurs cls pour le dveloppement de programmes efficaces de sensibilisation et de
formation la scurit des informations. In : Sensibilisation la scurit [en ligne]. 2006.
http://technet.microsoft.com/fr-fr/security/cc165442.aspx
24
ENISA. Le nouveau guide utilisateur : comment amliorer la sensibilisation la scurit de
linformation. 2008, 110p. http://www.enisa.europa.eu/publications/archive/new-users-guide-fr
Figure 14 : Cycle de vie dun programme de sensibilisation, selon lENISA
(ENISA, 2008, p.17)
Si nous nous basons sur ce que ces grands organismes proposent, nous pourrions
faire ressortir cinq processus cls pour mener bien une campagne de sensibilisation.
Ces cinq processus sont les suivants :
planifier ;
concevoir ;
diffuser ;
valuer ;
maintenir.
Evidemment, chaque organisme propose des particularits qui leur sont propres.
Nanmoins, nous pouvons en faire ressortir un fil rouge qui peut nous aider mettre
en place un programme de sensibilisation.
Figure 15 : Cycle de vie dun programme de sensibilisation
Planification
Maintenance Conception
Evaluation Diffusion
5.2.1 Planification
Tout dabord pour cette tape, les deux organismes sont daccord pour dire quil est
important quune planification de projet soit faite pour mener bien un programme de
sensibilisation. Ensuite, deux points leurs sont communs quant aux objectifs de la
planification :
Constituer une quipe et dterminer les responsabilits de chacun

Ils prcisent que pour ce genre de projet, il faut la participation et lappui de plusieurs
mtiers appropris, comme linformatique, la communication et le marketing, les
ressources humaines, le service juridique, la direction et les finances, ds le dbut du
projet. LENISA prcise quil faut choisir les collaborateurs qui ont le plus dexprience
dans le dveloppement de projet, afin de mener bien le programme.
Mais, surtout, il faut selon lENISA, le soutien de la direction, afin de montrer

limportance du projet et sa reconnaissance dans les plus hautes sphres de
lentreprise. Car, si les employs concerns ne voient pas limportance du projet, ils ne
soutiendront pas le programme et feront, selon lENISA de la rsistance passive 25.
Evaluer le budget requis et lobtenir

Toujours selon lENISA, Il est essentiel darriver un consensus entre les dcideurs
concernant limportance du programme et le bienfond de son financement .Microsoft
insiste sur le fait, quil faut allouer un budget totalement dvolu au projet, afin dviter
que les dpenses se noient dans le budget global de la scurit de lentreprise.
Toutefois, lENISA, nous met en garde [] envisagez et planifiez la possibilit que
les fonds accords soient insuffisants pour soutenir le programme de manire
approprie. 26
25
ENISA, 2008, p.29
26
ENISA, 2008, p.22
5.2.2 Conception
Il sagit de mettre sur pied un programme de sensibilisation. En ce qui concerne
lENISA, certaines des recommandations ci-dessous sont prsentes dans son
processus de planification. Cependant, elle-mme dfini dans celui-ci deux autres
points qui sont valuer et concevoir 27. Il nous est apparu plus judicieux de faire
apparaitre les points quelle traitre cette tape-ci, car valuer et concevoir sont des
points de dveloppement spcifique pour le programme.
Il y a donc cinq points communs cette tape pour ces deux organismes :
Dfinir les besoins et les objectifs

Cest pourquoi, LENISA et Microsoft propose tout dabord de dterminer les besoins
de sensibilisation rels des collaborateurs et les objectifs du programme, afin de
pouvoir dvelopper celui-ci en consquence. Ils proposent tous les deux, dans leur
mthode respective, une srie de questions se poser afin de cerner les points
importants pour la dtermination des ressources et du contenu dvelopper.
Dterminer les canaux de communication efficaces

Les deux organismes proposent ensuite, soit sur leur propre site, soit dans leur
contenu des supports et des moyens de communication utiliser pour sensibiliser les
collaborateurs de lentreprise.
Dfinir les groupes cibles

Pour cette tape, daprs lENISA, il est crucial de dfinir le public spcifique cibl
par linitiative de sensibilisation. 28 Elle propose une srie de question qui permet de
pouvoir dtermin ces groupes. Quant Microsoft, il nen fait pas un point spcifique,
mais parle souvent de groupe cible dans sa mthode, ce qui peut nous laisser penser
quil est important pour lui aussi de dterminer qui bnficiera de quel message et de
quelle formation.
Elaborer le contenu de la communication des messages de sensibilisation et de

la formation
A cette tape, il convient de traiter le contenu des informations et formation de
sensibilisation, dterminer les messages pertinents et les supports adquats pour
transmettre un savoir-faire aux collaborateurs. Chaque organisme a sa vision de la
communication. LENISA propose de suivre des rgles de base pour rester pertinents
27
ENISA, 2008, p.16
28
ENISA, 2008, p.22
et efficaces, alors que Microsoft explique quil faut prendre en compte des
mcanismes de diffusion spcifiques afin que la communication soit efficace.
Prvoir des ressources pour valuer lefficacit du programme

Afin de dfinir lefficacit du programme propos tant avant sa mise en route quaprs
la fin de sa session, tous deux proposent de dvelopper des ressources.
Evaluer une campagne ou un programme est essentiel pour apprhender son

efficacit ainsi que pour utiliser les donnes comme indications pour corriger
linitiative afin de la rendre encore plus fructueuse. (ENISA, 2008, p.54)
[] Il est ncessaire de dvelopper un moyen efficace permettant de rapporter
[] aux cadres de direction les informations glanes au cours du processus
mesurant la comprhension et la satisfaction l'issue de la session de
formation (Microsoft, 2006, p.19)
Microsoft propose, en plus, de mettre en place avant la diffusion grande chelle, un
programme pilote sur un petit groupe de collaborateurs afin dvaluer la pertinence, et
lefficacit, ainsi que damliorer les ventuels dfauts du programme. Tandis que
lENISA propose de mettre en place des indicateurs chiffrables et de prparer des
questionnaires faire circuler, aprs les sessions de sensibilisation, auprs des
collaborateurs participants.
5.2.3 Diffusion
A cette tape, les deux organismes saccordent pour dire que Lorsquun plan bien
crit est mis en place et que vous disposez aussi des ressources appropries pour
lexcuter, le moment est venu de demander aux diffrents acteurs choisis au
pralable pour crer le programme et lexcuter en vue de concrtiser les avantages
de la sensibilisation la scurit de linformation. (ENISA, 2008, p.67)
De plus, tous deux prcisent quil ne faut pas oublier de rcolter les impressions et les
suggestions des collaborateurs participants, afin de pouvoir intgrer leurs remarques
au processus de mise jour du programme.
5.2.4 Evaluation
Lvaluation doit tre faite aprs chaque session de sensibilisation et de formation des
employs. LENISA prcise que cette tape est un point ne pas omettre, car il sagit
dvaluer les informations gnres par le programme, de dterminer si les objectifs
principaux ont t atteints et dajuster les processus de travail avec les diffrentes
informations reues. De plus, Microsoft prcise que lvaluation permet de rendre
compte, si les collaborateurs ont bien compris les messages diffuss, et quils ont bien
t impliqus dans le processus de formation. Cette tape a donc pour objectif de
recevoir des indications sur lefficacit de la campagne diffuse au pralable.
5.2.5 Maintenance
A cette tape, il est bien expliqu par Microsoft, que le programme ne sarrte pas
aprs sa premire excution.
Les programmes ne prennent pas fin une fois le premier cycle de sessions
achev avec succs. Ces programmes reprsentent un investissement constant
dans lequel votre organisation doit sengager. (Microsoft, 2006, p.23)
LENISA propose dintgrer les enseignements tirs de lvaluation afin de lintgrer au
processus de mise jour.
Les expriences accumules depuis le lancement du programme fournissent

les connaissances et la comprhension ncessaires pour rectifier le programme
en vue de sa russite. (ENISA, 2008, p.76)
Il faut constamment le tenir jour car les menaces, la technologie, ainsi que les
exigences juridiques voluent avec le temps. De plus, selon Microsoft, les quipes du
projet, les mesures organisationnelles et techniques, ainsi que les rglements peuvent
aussi changer. Microsoft insiste encore sur le fait quil faut maintenir le programme sur
le long terme, car cest la meilleure faon de sensibiliser les collaborateurs.
5.3 Comment adapter la communication
Aprs avoir dtermin les moments o il faut sensibiliser les utilisateurs via la norme
27002, et par quelles tapes un plan de sensibilisation se construit comme tablit au
point prcdent, il faut maintenant sintresser laspect communicationnel. Nous
avons vu au chapitre prcdent que des professionnels en scurit des systmes
dinformation ont tabli quil y avait une nouvelle gnration connecte 29
grandissante au sein des entreprises et que, par consquent, il faut adapter la manire
de sensibiliser ces utilisateurs. Pour cela, les auteurs du livre blanc Sensibilisation
la scurit de linformation 2.0 30 donnent des conseils pour rendre la communication
faite aux utilisateurs plus attractive.
5.3.1 Convaincre, communiquer et impliquer

Tout dabord, les auteurs de ce livre explique quil faut persuader les collaborateurs, en
leur dmontrant par des exemples que cela narrivent pas quaux autres. [..]Il est
essentiel dexpliquer, de dmontrer, de donner des exemples Cette gnration est
ultra connectes, elle est au courant de tout, tout le temps, donc il faut utiliser ce
chemin pour les informer de manire continue quotidiennement. Il sont habitus
recevoir des informations en permanence avec les mdias, les rseaux sociaux, et
lInternet.
Ils prendront conscience de limportance de la scurit et que lentreprise compte sur

eux. La scurit dune entreprise dpend bien de chacun de ses employs. En
plus, ils se sentiront impliqus dans le processus de scurit et seront ravis de pouvoir
contribuer la scurit de linformation de leur entreprise.
5.3.2 Message court et original

Ensuite, ils proposent de trouver un original moyen pour communiquer les attentes de
lentreprise en matire de scurit, de manire courte et simple. Il faut les accrocher
et aller rapidement lessentiel [] la cl du succs est de surprendre et dintriguer les
interlocuteurs. Il est essentiel de faire preuve doriginalit []
29
linformation 2.0 [en ligne]. Livre Blanc. PARIS : LEXSI INNOVATIVE SECURTIY, 2013. Pages 7-
8
2.0.pdf
30
Les citations inclus dans ce chapitre qui proviennent de ce livre blanc sont toute la page 6.
5.3.3 Moyen interactif
Aprs, selon les auteurs, il sagit de trouver un novateur moyen et adapt leur
gnration pour les faire participer de manire interactive et amusante, ainsi ils seront
ravis de collaborer. Un utilisateur [de cette gnration] ne retient que sil participe
[] Apprendre en samusant est un des moyens de les toucher directement et de les
faire sintresser la scurit. Ainsi, ils retiendront ce quils ont appris, parce quils
auront t impliqus dans le processus, et ils sintresseront davantage la scurit.
5.3.4 Tester les connaissances

Enfin, comme nous lavons vu auparavant, ces utilisateurs connaissent trs bien les
technologies, et daprs les auteurs, ils pensent dj tout connaitre. Il faut aller plus
loin en les testant grandeur nature, pour mettre en vidence leurs limites et remettre en
cause leur confiance en eux. Cest en testant leurs connaissances, selon les auteurs,
que les responsables de la scurit provoqueront chez eux une rflexion sur leurs
relles connaissances et ainsi ils apprendront de leurs erreurs.
5.4 Les canaux de communication
Pour finir, pour mettre en place une bonne culture de la scurit de linformation au
sein dune entreprise, il faut travailler sur les trois dimensions que reprsente la
sensibilisation, qui sont, pour rappel, linformation, la communication et la formation.
Ainsi, il est judicieux de dterminer les canaux de communication adquats pour
vhiculer les informations relatives au programme de sensibilisation voulu au sein
dune entreprise. Pour ce faire, nous trouvons beaucoup de conseils sur internet, avec
diffrents points aborder ou encore des moyens de communication et de formation,
qui se ressemblent tous, au final.
Le CERN, par exemple, propose des cours privs, mais aussi diffrents supports
dexemples, afin de mener bien une communication sur la scurit informatique dans
les entreprises. LEPFL et le CASES aussi propose des supports de communication.
LENISA fournit une multitude de supports disposition de tous sur son site internet.
Dans son guide utilisateur, elle indique quelques canaux de communication
intressants mettre en place, ainsi que leurs avantages et leurs inconvnients. Tout
comme, dans le livre blanc Sensibilisation la scurit de linformation 2.0 31.
Microsoft propose aussi des masques pour des supports de communication adquats,
comme expliqu auparavant. Enfin, dans les nombreux livres que nous avons lu, ce
trouve quelques conseils et exemple pour rdiger une politique de scurit, ainsi
quune charte utilisateur lattention de ses collaborateurs.
Vous trouverez en annexe 1 la liste des diffrents canaux de communication

intressants et proposs par ces diffrents organismes, avec leurs avantages et leurs
inconvnients. Nous les avons tris selon les trois dimensions de sensibilisation que
nous avons vues prcdemment, ainsi nous pouvons mieux cerner le contexte dans
lequel ils peuvent tre utiliss par une quipe charg de mettre en place un
programme de sensibilisation.
31
linformation 2.0 [en ligne]. Livre Blanc. PARIS : LEXSI INNOVATIVE SECURTIY, 2013. Pages 9-
10
2.0.pdf
5.5 Solution informatique
Enfin, durant nos recherches, nous avons constat quil existe une solution
informatique pour grer entirement une campagne de sensibilisation la scurit du
systme dinformation. Nous avons donc pris contact avec les deux entreprises32
trouves qui proposent cet outil afin de les essayer durant une trentaine de jours
comme propos. Seule une entreprise a rpondu33, cependant, elle ntait pas en
mesure de nous fournir lapplication de dmonstration, car notre travail navait pas de
fins professionnelles. Nanmoins, nous pouvons quand mme supposer, selon la
description qui en est faite, quune solution informatique comme celle-l permet de
faciliter la gestion complte dun programme de sensibilisation, tant donn que toutes
les diffrentes phases abordes dans ce chapitre sy trouvent.
5.6 Conclusion
En conclusion, daprs tous ces organismes et entreprises experts dans le domaine de
la scurit des systmes dinformation, il est important :
Dtablir une politique de scurit des systmes dinformation qui reflte la

vision stratgique de lentreprise et prcise la ligne gnrale suivre en matire
de scurit du systme dinformation. Dans le but de diffuser la culture en
matire de scurit de linformation auprs des collaborateurs.
De commencer la sensibilisation dun employ ds son engagement jusqu

son dpart. Et de dvelopper un programme de sensibilisation qui soit le plus
adapt possible aux utilisateurs du SI afin de les intresss, et de les joindre au
processus de scurit, afin den faire les acteurs principaux pour la protection
de linformation au sein de lentreprise.
Ainsi ces deux points cruciaux permettront en interne dhomogniser les bonnes
pratiques scuritaires et de diffuser une culture de la scurit commune tous
travers lentreprise et en externe de renvoyer une image et une rputation responsable
et professionnelle ces partenaires commerciaux.
32
Conscio-technologies. Sensiwave, un nouveau lien entre lentreprise et ces collaborateurs [en
ligne]. http://www.conscio-technologies.com/?option=com_content&view=article&id=109&Itemid=92
Terranova. Sensibilisation Scurit de lInformation [en ligne].
http://www.tnawareness.com/fr/securite-information
33
Voir la rponse notre demande lannexe 2.
6. Dans la ralit
Pour tenter de comprendre rellement comment les entreprises sensibilisent et
forment, sur le terrain, leurs employs la scurit des systmes dinformation, nous
nous sommes rendus dans trois entreprises du domaine tertiaire, reprsentants des
activits diffrentes, ainsi que dans deux Hautes Ecoles Spcialises.
6.1 Interviews - secteur priv34

Pour ce faire nous avons interrog un collaborateur de chaque, qui travaille dans le
dpartement informatique interne lentreprise. Nous avons t dans une banque, une
multinationale et une moyenne entreprise (PME) base Genve.
Nos questions se portent sur la politique de scurit tablie au sein de lentreprise

concernant les employs et sur la sensibilisation de la scurit des informations
lintrieur de lentreprise. Nous souhaitons comprendre sur quelles bases ils crent leur
politique de scurit, de quelle manire ils sensibilisent leurs collaborateurs et
comment ils diffusent ces bonnes pratiques auprs des employs. En outre, nous leur
avons demand si leurs collaborateurs mettent en uvre ces bonnes pratiques et sils
pouvaient mettre une hypothse qui expliquerait pourquoi ceux-ci les appliquent-ils ou
non. Enfin, nous leur avons demand si leur politique en matire de sensibilisation
fonctionnait selon leurs attentes.
6.1.1 Banque
Au sein dune banque la scurit est essentielle tant au niveau des infrastructures
lectroniques et informatiques, quau niveau humain. La rputation de lentreprise tient
entre autres sur deux bases essentielles qui sont la confidentialit et la scurit des
informations avec lesquelles elle travaille. Sans une politique de scurit et une culture
dentreprise qui mise sur la discrtion, la rputation de la banque en ptit.
Cest pourquoi, nous avons interview un collaborateur dune banque de Genve,

travaillant au sein du support informatique de lentreprise, afin de comprendre
comment celle-ci agit pour limiter le facteur de risque humain sur le systme
dinformation.
Vision de la scurit transmise ds le dbut

Leur politique de scurit est communique lengagement de chaque employ, ainsi
que lors dune runion de prsentation de lentreprise. Les rgles sont trs strictes, en
34
Vous trouverez les interviews des entreprises lannexe 3
matire de scurit. Rien ne sort, ni ne rentre quel que soit le support de stockage. De
plus, chaque nouvel employ reoit une petite formation son arrive.
Politique de scurit accessible

Cette politique est accessible sur lintranet de lentreprise, et cette information est
communique aux employs, ainsi sils estiment en avoir besoin, ils savent o la
trouver pour la consulter. Cependant, notre interlocuteur explique quil nest pas sr
que chaque employ se souvienne o il peut la trouver. Elle est base sur les normes
de scurit en vigueur, lexprience de la banque et de ses responsables
informatiques, ainsi que sur lactualit. Elle est mise jour selon le mme principe que
son tablissement, au gr de lactualit, des audits internes, de lvolution des normes
de scurit et de la technologie.
Equipe charge de la scurit

Au sein de la banque, cest une quipe spcialement charge de la scurit de
linformation qui dicte les rgles de scurit. Selon notre interlocuteur, il y a une
distinction qui est faite selon les domaines mtiers et les niveaux hirarchiques
ltablissement de cette politique, afin daccroitre la scurit et dadapte ces rgles au
contexte de travail. Ces rgles de scurit sont extrmement bien expliques aux
employs, afin quils comprennent leur importance.
Mesures techniques appuient les mesures organisationnelles

Afin quelles soient appliques correctement au quotidien, les administrateurs
systmes utilisent les outils informatiques pour restreindre un maximum les ventuels
mauvaises manipulations. Ainsi, ils vitent de laisser toute la responsabilit de la
scurit des informations aux employs, grce au linfrastructure du systme
informatique mis en place, ils peuvent dune certaine manire diriger les employs
dans une manipulation scurise et rflchie des outils et autres gestes utiles dans
leur travail.
Conscients et informs, mais pas forcment attentifs

Actuellement, notre interlocuteur ne pense pas que les utilisateurs au sein de
lentreprise soient rellement conscients de limportance des informations quils
manipulent chaque jour. En effet, vu la quantit traite quotidiennement, ils peuvent
rapidement ne plus faire attention ce quils font, car il sagit dtre performant dans
leur travail. Il estime tout de mme que si les utilisateurs sont attentifs, cest par
conscience professionnelle. Mais aussi et souvent par obligation, et se sentent parfois
contraints. Il nous explique que la sensibilisation la scurit des informations, mise
en place auprs des employs, a t teste. Malheureusement, il savre quil y a peu
demploys qui appliquent toutes les rgles de scurit.
Mesures organisationnelles bonnes dans lensemble

Quand nous lui demandons sil juge suffisant les mesures mises en place afin de
restreindre le risque humain, il nous explique quil y a toujours un potentiel
damlioration, mais il y a aussi une question de cots et cela entre tout de mme en
compte dans la politique gnrale de scurit.
En conclusion, dans ce cas-l les outils lectroniques et informatiques sont

actuellement un bon moyen de palier au risque humain des employs respectueux de
lentreprise. Ces outils agissent comme un filet de scurit pour rattraper les
ventuelles erreurs commises inconsciemment par les employs pris par leurs tches
et responsabilits quotidiennes. Mais il y aura toujours un risque venant dun employ
mal intentionn qui pourra contourner le systme afin de nuire lentreprise. Pour
ceux-l, la seule sanction est la mise la porte immdiate. Pour les autres daprs
notre interlocuteur, le cas est valu.
6.1.2 Multinationale
Voyons maintenant comment cela se passe dans une entreprise multinationale, dont
un de ses objectifs de scurit de protger ses donnes, ainsi que dventuelles
nuisances pour ses affaires.
Nous avons donc interrog un collaborateur travaillant au sein du support informatique

de lentreprise, qui a pu nous clairer quant la politique gnrale de scurit et la
communication qui a t mise en place.
Vision de la scurit transmise ds le dbut

Leur politique de scurit est communique lengagement dun nouvel employ, et
lors de la runion rassemblant les nouveaux collaborateurs pour la prsentation de
lentreprise. Les responsables de la runion prennent le temps dexpliquer limportance
de ces rgles de scurit et les bonnes pratiques quil faut mettre en uvre lors de
lusage des outils informatiques de lentreprise. Afin de bien faire passer le message,
ils utilisent des exemples dingnierie sociale* pour marquer les esprits.
Politique de scurit accessible

Cette politique de scurit est disponible sur lintranet de lentreprise. Cependant, notre
interlocuteur ntait pas sr de savoir o la trouver, afin de pouvoir nous la montrer.
Pourtant, notre interlocuteur sest dirig instinctivement sur lintranet de lentreprise
pour voir sil pouvait y avoir accs. Il nest donc pas sr que chaque employ se
souvienne o il peut la trouver. Cette politique de scurit volue selon les besoins de
lentreprise, ainsi quau gr des audits internes effectus par une entreprise externe,
suivant les normes de scurit en vigueur. Ces rgles sont communes tous les
collaborateurs, nanmoins, il pense quil y a peut-tre une ou deux exceptions selon le
travail effectu au sein de la compagnie.

Lquipe se charge dtablir ces rgles sur la base des normes de scurit en vigueur,
de lexprience des responsables des technologies de linformation et de lhistorique de
lentreprise, ainsi que sur lactualit. Cette quipe diffuse ces rgles de bonnes
pratiques ou ces avertissements de scurit de manire crite et orale, quelques fois
par anne par mail, ou sur des posters accrochs aux murs des lieux communs
chaque tage. De plus, elle organise deux fois par anne des sances dinformation
facultatives axes sur un sujet en particulier, ouverte tous les collaborateurs pour
quils puissent poser leurs questions.
Figure 16 : Exemple daffiches dans les lieux communs de lentreprise35
(Entreprise multinationale, 2013)
35
Photo prise dans lentreprise le jour de linterview le 30 juillet 2013.
Compromis entre mesures techniques et activits professionnelles
Bien que les collaborateurs de lentreprise soient informs des mesures de scurit
adopter au quotidien, les employs ne comprennent pas toujours limportance de
lenjeu qui est derrire ces bonnes pratiques.
En effet, ils souhaitent avoir un outil accessible facilement et rapidement, afin de

travailler sans contrainte au dtriment des mesures de scurit demandes par
lentreprise. Cest pourquoi, lquipe de gouvernance de la scurit, ainsi que celle du
service informatique essayent de trouver une juste mesure dans les contraintes
imposes aux collaborateurs. Ils valuent les risques rels qui peuvent survenir pour
viter dtre trop extrme dans leurs dcisions et ainsi nuire aux affaires. Ils mettent,
donc, en place le minimum dinfrastructure pour rpondre aux besoins de scurit et
comptent aussi sur la responsabilit des utilisateurs pour viter dventuels incidents.
Cest une sorte de compromis.
Conscients et informs, mais pas forcment attentifs

Pour le centre informatique, si une majorit dutilisateurs appliquent ces bonnes
pratiques, cest par conscience professionnelle, bien quils se sentent contraints, ils
savent que cest important pour lentreprise, et que cela peut avoir un impact
considrable sur leur travail et les affaires de celle-ci. Malheureusement, pour la petite
minorit des utilisateurs qui ne mettent pas souvent en uvre ces bonnes pratiques,
cest d la plus part du temps un oubli de leur part, et non un problme
dinconscience.
Si un incident venait tre signal, une quipe interne soccupe de rechercher toutes
les traces laisses dans le systme, afin de connaitre le responsable et les dgts
commis. Ensuite des mesures sont prises selon la gravit et la frquence des
mauvaises manipulations.
Soutient de la part de la direction

La direction de cette entreprise a bien compris que le risque humain existait, et cest
pour cette raison que mme lors dun remaniement budgtaire, lquipe de
gouvernance de la scurit nest pas impacte par une dcision dargent.
Notre interlocuteur estime tout de mme que la sensibilisation faite auprs des
utilisateurs est bonne, bien que des amliorations puissent tre faites.
En conclusion, dans cette entreprise, les mesures de scurit ont t juges selon
limpact quelles pouvaient avoir sur les affaires de lentreprise. Elles sont values de
manire prendre en compte le risque rel qui pourrait survenir et ainsi viter aux
collaborateurs des manipulations qui pourraient les amener contourner le systme,
afin de faire leur travail plus rapidement. Lentreprise utilise mme des supports de
communication adapts aux employs. Comme les posters qui expliquent ce quils
doivent faire ou non selon une situation, et ceux-ci sont mis dans les lieux communs l
o ils peuvent prendre le temps de les lire.
6.1.3 PME
Pour finir, nous avons interview le directeur du service informatique dune moyenne
entreprise de Genve, afin de comprendre comment elle aussi communique et diffuse
sa politique de scurit auprs de ses collaborateurs pour limiter les incidents de type
humain sur son systme dinformation.
Vision de la scurit transmise ds le dbut et politique de scurit accessible

Leur politique de scurit est, comme les deux autres entreprises, communique
lengagement dun nouvel employ. Cependant, un mail lui est envoy ds lactivation
de sa messagerie, lui expliquant quil peut la trouver en premire page de lintranet de
la compagnie, ce qui change des deux premires entreprises.

Lquipe informatique, le responsable de la scurit et la direction de lentreprise se
chargent dtablir ces rgles sur la base des normes de scurit en vigueur,
lexprience de lquipe, lhistorique de lentreprise, ainsi que sur lactualit et les
informations communiques lors de confrences.
Cette quipe diffuse ces rgles de bonnes pratiques ou ces avertissements de scurit
de manire crite et orale. La politique de scurit volue constamment selon les
besoins de lentreprise. Elle envoie donc un mail ds quil y a un changement. De plus,
en matire de sensibilisation, elle informe ses collaborateurs par courrier lectronique
avec des exemples rels lappui pour mieux faire comprendre limportance de ces
rgles de scurit. Elle envoie aussi des courriers lectroniques de rappels tous les
deux mois.
Formation des employs

De plus, elle propose des sances de formation continue pour sensibiliser ses
employs, ce que ne font pas les deux autres entreprises. En outre, il y a des
distinctions au niveau des mtiers de lentreprise concernant les informations, la
sensibilisation et la formation donne aux employs. En effet, les techniciens qui
installent des applications ou des infrastructures informatiques dans dautres
entreprises, ncessitent une formation rgulire et plus rigoureuse sur la scurit quun
employ interne.
Conscients et informs, mais pas forcment assidus

Cependant, notre interlocuteur nest pas sr que tous les employs comprennent
limportance de ces rgles. Parfois, certains dentre eux pensent que cest exagr.
Selon lui, si certains employs sont conscients des enjeux de la scurit, dautres les
appliquent par contrainte ou encore parce quils doivent le faire sans forcment toutes
les comprendre.
Lquipe informatique a mis en place un certain nombre de mesures techniques, afin

de limiter les manipulations qui pourraient avoir des consquences pour lentreprise.
Cependant, elle fait aussi confiance aux les utilisateurs et compte sur eux pour quils
soient vigilants. Notre interlocuteur estime quil ne pourrait surement pas faire mieux en
termes de mesures de sensibilisation, quelles sont suffisantes pour le moment.
Lentreprise a les moyens de savoir si un employ a enfreint les mesures de scurit

mises en place. Si un incident venait tre dtect, des mesures proportionnelles
limportance de lincident sont prises lencontre de lemploy.
Soutient de la part de la direction

La direction de cette entreprise a bien compris limportance de la sensibilisation des
employs la scurit informations professionnelles, puisquelle prend, dailleurs, part
llaboration de la politique de scurit. Il est donc ais, selon notre interlocuteur, de
ngocier un budget, mais pas directement pour la sensibilisation, cela fait partie dun
tout. En outre, il ny a jamais eu de restriction budgtaire pour la scurit, ce qui
montre que la scurit a une grande importance dans cette entreprise.
Pour finir, notre interlocuteur estime que la sensibilisation faite dans lentreprise,
auprs des utilisateurs est bonne. Dailleurs, il sen aperoit lorsque ceux-ci font
attention et posent des questions.
En conclusion, la sensibilisation des employs est prise trs au srieux par les
instances dirigeantes. La politique de scurit est mise en avant sur lintranet de la
compagnie, et un mail indique au nouvel employ o il la trouver en cas dinterrogation
de sa part. De plus, la campagne de sensibilisation qui a t mise en place dans cette
entreprise, passe par les trois dimensions vues prcdemment et elle sadapte aux
besoins de chaque mtier de lentit. Les responsables utilisent judicieusement des
exemples rels, afin de dmontrer limportance des messages de scurit quils
souhaitent faire passer. Enfin, nous pouvons voir que les employs sinterrogent sur la
scurit et nhsitent pas poser des questions auprs du centre informatique, ce qui
montre que la sensibilisation tablie porte ses fruits.
6.1.4 Impacts de la sensibilisation dans le secteur priv

Nous pouvons retenir ici, que les entreprises interviewes rendent attentif leurs
nouveaux collaborateurs la politique de scurit en vigueur lintrieur de
linfrastructure ds leur arrive, soit lors de la discussion des conditions demploi, soit
de manire plus gnrale lors dune prsentation de lentreprise. Nous remarquons
aussi que chacune explique tous ses collaborateurs limportance de ces rgles et
comment les appliquer. Elles ont toutes mis disposition leur politique de scurit sur
lintranet, support accessible tous les employs. Deux des entreprises sondes
proposent une formation ou une sance dinformation durant le mandat afin que les
employs puissent en apprendre plus. Une seule entreprise cependant envoie un
courrier lectronique ses nouveaux collaborateurs pour leur expliquer o ils peuvent
retrouver la politique de scurit, si besoin. Nanmoins, une autre a dcid de faire
une campagne dexplication et de sensibilisation continue travers des affiches avec
des mots et des images simples pour faire passer rapidement un message de scurit
auprs de ses collaborateurs. Toutefois, chacune dentre elles diffusent un rappel des
mesures en vigueur ou des nouveauts en matire de scurit tous les trois mois en
moyenne. De plus, chacune ont une quipe ddie la scurit des systmes
dinformation.
En conclusion, chaque entreprise interroge est consciente des risques qui dcoulent
de leurs propres employs et mettent en uvre une politique de scurit au sein de
lentreprise qui permet de sensibiliser sur au moins deux des trois dimensions, vues
prcdemment, chaque collaborateur ds son arrive, durant son mandat et jusqu
son dpart. De plus, la manire dont elles diffusent leurs explications fonctionne,
puisque chaque interlocuteur estime que le rsultat est concluant.
6.2 Interviews - Hautes Ecoles Spcialises
Comme notre travail est principalement ax sur deux Hautes Ecoles Spcialises
prcises qui sont la Haute Ecole de Sant (HEDS) et la Haute Ecole de Gestion (HEG)
de Genve. Nous avons interview une vingtaine de collaborateurs, dont les
utilisateurs du systme dinformation, ainsi quun membre de la direction et du service
informatique de chacune delle. Dans le but de comprendre comment est mise en place
la sensibilisation au sein de ces deux coles.
Tout dabord, expliquons rapidement, quel est le but dune Haute Ecole Spcialise
(HES). Cest une universit de type professionnelle, qui [] dispense un
enseignement de niveau tertiaire, ax sur la pratique, dans le prolongement dune
formation post-obligatoire professionnelle. 36
Elle ralise en plus de lenseignement, des projets de recherches dont les rsultats
servent amliorer lenseignement dispens, fournit des prestations des tiers et
assure un change avec le milieu professionnel. Ces objectifs lui confrent une
rputation importante au niveau Suisse. Ce type dcole joue un rle important au
niveau de la formation nationale, elle dlivre des diplmes formateurs, qui sont
reconnus au niveau national et international. Elle collabore aussi avec dautres entits
de formation et de recherches travers le monde.
6.2.1 Haute Ecole de Sant37

Cette Haute Ecole forme des professionnels de la sant. Ce domaine ncessite une
confidentialit accrue sur les dossiers des patients, ainsi que le secret professionnel
sur les traitements administrs.
Communication de base
Aprs avoir interview six personnes au sein du corps administratif et enseignant, nous
avons pu constater quune sensibilisation basique lutilisation scurise des outils
informatiques, a t diffuse oralement par le centre informatique.
36
HAUTE ECOLE SPECIALISEE DE SUISSE OCCIDENTALE. Qui sommes-nous [en ligne].
http://www.hes-so.ch/fr/sommes-nous-26.html
37
Vous trouverez les interviews des collaborateurs de la HEDS lannexe 4
En effet, lorsquun employ prend ces fonctions au sein de lcole, un administrateur
systme communique ces trois rgles de base :
Verrouiller le poste de travail lorsquil quitte sa place ;

Enregistrer ses documents sur son espace de profil personnel et non sur son
bureau, afin dviter la perte de ses fichiers si une panne devait survenir ;
Les cls USB sont fragiles, et doivent tre enleve du poste correctement.
Ces rgles sont communiques, selon lui, pour de rendre attentif les utilisateurs
lutilisation correcte dun ordinateur.
Prise de mesures personnelles

Cinq des collaborateurs interrogs prennent des mesures en plus de celles
communiques pour mieux scuriser linformation, car leurs postes les y obligent.
Cependant, le dernier collaborateur ne se souvient pas avoir t sensibilis de
quelconques manipulations de scurit avec son ordinateur son engagement et il
aurait aim pouvoir les trouves sur lintranet de lcole.
Toutefois, le responsable informatique explique que seule la charte est disponible sur
lintranet, et que les explications donnes, lengagement dun collaborateur, ne le
sont pas.
Campagne de sensibilisation date

Concernant la charte informatique disponible sur lintranet Qualit de la Haute Ecole
Spcialise de Genve (HES-Genve), deux employs, engags il y a deux ans, ne
savaient pas que cela existait et quelle tait disponible cet endroit. Nanmoins, pour
les quatre autres collaborateurs travaillant depuis plus de 10 ans au sein de lcole, ils
sen souviennent vaguement.
En effet, il savre quen 2005, lancien directeur adjoint de lcole et lactuel

responsable informatique, ont tabli une charte informatique et une communication
concernant les rgles de scurit quils ont prsent lors dune sance plnire tous
leurs collaborateurs. De plus, ces employs se souviennent, dans la continuit de cette
sensibilisation, avoir reu des rappels ou des avertissements concernant de potentiels
risques durant les deux annes suivantes. Le responsable informatique, qui est en
place depuis plus de 12 ans, confirme effectivement cette approche de la
sensibilisation mise en uvre.
Information perdue dans la masse
Depuis, cependant, plus rien na t fait, daprs les utilisateurs, pour poursuivre cette
sensibilisation la scurit du systme dinformation.
Le responsable informatique, cependant, nous explique quil est trs rare quil mette
des avertissements, car il ny a pas eu de menaces depuis. Mais il rappelle certaines
informations au moins une fois par anne par courrier lectronique ou oralement.
Ces collaborateurs ne se souviennent pas avoir lues ces informations, mais supposent
tout de mme quelles soient passes inaperues dans la masse de courriers
lectroniques reues la rentre.
Vision des utilisateurs face aux mesures de scurit conseilles

Tous les collaborateurs interviews comprennent trs bien pour quelle raison ils
doivent faire attention, chacun les applique dans la mesure de ses connaissances et
par conscience professionnelle. Il ny a donc pas de problme de ce ct-l.
Cependant, ils estiment quils manquent dexplications sur les mesures prendre ou
les manipulations ne pas faire sur un ordinateur. Ils pensent que le service
informatique a nglig ce point dans leur politique de scurit ou quils ne sont pas
assez exhaustifs.
Vision du service informatique face aux mesures de scurit appliques

Selon le responsable, il y a les collaborateurs qui comprennent et mettent en place les
informations, et ceux qui laisse courir jusquau jour il leur arrive quelque chose. En
outre, il estime que la manipulation dun ordinateur requiert des comptences en
bureautique et que chacun devrait les avoirs acquis depuis le temps. Cependant, il
estime tout de mme que ces informations ne sont pas suffisantes.
Contraintes et temps ne joue pas en faveur de la scurit

Daprs le responsable informatique, des mesures techniques de scurit plus fortes
avaient t mises en place un temps, mais les utilisateurs les trouvaient quelles
taient trop contraignantes, cest pourquoi il a rduit les mesures. Mais il dplore un
manque de temps pour pouvoir rellement tester si les mesures actuelles sont bien
appliques.
Ecart important de communication interne

Nous pouvons constater que dans cette cole, des mesures et des consignes de
scurit sont donnes, mais quil y a un norme cart de communication entre ce qui
est mis en place par le service informatique, ce que les utilisateurs estiment quil
devrait tre fait et ce quils peroivent.
6.2.2 Haute Ecole de Gestion38
Cette Haute Ecole forme des professionnels de lconomie et des services. Dans cette
cole, nous avons des professionnels qui cherchent, crent et transforment
linformation afin de crer une valeur ajoute.
Communication succincte
Aprs avoir interview quatre personnes au sein du corps administratif et enseignant,
nous avons pu constater quil ny a aucune sensibilisation qui est faite lors de
lengagement dun nouveau collaborateur au sein de lcole. Le directeur adjoint
explique que le service informatique et la direction se base sur les us et coutumes des
utilisateurs, quil ny a donc pas besoin les en informer.
Le service informatique, nanmoins, explique envoyer de temps en temps des

courriers lectroniques de prvention ou de rappel pour avertir lensemble des
collaborateurs. Ce que les utilisateurs confirment.
Le directeur adjoint ajoute tout de mme quune charte informatique, disponible au

mme endroit que pour la HEDS, tait soumise aux nouveaux employs leur arrive,
mais celle-ci d tre abandonne pour des raisons lgales. Cest pourquoi les
mesures de scurit ne sont plus communiques lengagement.
Prises de mesures personnelles

Cependant, chaque collaborateur interrog prend tout de mme des mesures, en plus
de celles communiques lors des rappels, pour mieux scuriser linformation.
En effet, mme si certains utilisateurs ne sont pas forcment sensibiliser des

manipulations scuritaires sur leur outil de travail, dautres ont un bagage qui leur
permettent dappliquer des mesures de scurit judicieuses de par leur exprience
professionnelle parallle ou antrieure. De plus, ceux qui font preuve de plus de
conscience en matire de scurit que dautres, sont ceux qui lisent toutes les
informations mises par leurs collaborateurs et qui sont attentifs la vie de lentreprise.
Effectivement, un employ bien inform sur ses collgues et les dernires nouvelles de
la compagnie peut mieux estimer le degr de risque en manipulant des mails ou des
liens infects. De plus, il sera attentif dventuel intrus au sein dun bureau ou sur des
demandes faites par des personnes malveillantes.
Toutefois, bien que les responsables concerns nestiment pas tort que les
utilisateurs aient dj un bagage de par leur formation ou lhabitude dun ordinateur,
38
Vous trouverez les interviews des collaborateurs de la HEG lannexe 5
encore beaucoup ne sont pas forcment conscients des risques quils prennent suivant
lutilisation quils en font. Ils nont peut-tre mme pas t sensibiliss du tout, que ce
soit leur ancien poste ou durant leur apprentissage avec un ordinateur.
Certains, mmes, demandent des explications leur collgue afin de pouvoir appliquer
certains gestes pour scuriser linformation, ce qui contribuent perptuer dventuels
mauvais usages.
Vision des utilisateurs face aux mesures de scurit conseilles

Tous les collaborateurs interviews comprennent trs bien pour quelle raison ils
doivent faire attention, chacun les applique dans la mesure de ses connaissances et
par conscience professionnelle. Il ny a donc pas de problme de ce ct-l.
Cependant, ils estiment quils manquent dexplications sur les mesures prendre ou
les manipulations ne pas faire sur un ordinateur. Nanmoins, ils supposent que si
des mesures plus approfondies nont pas t mises en place, cest notamment par
manque de ressources ou parce que les principaux concerns ont estims quils
taient dj forms. Ce dernier point rejoint ltat desprit du directeur adjoint.
Vision du service informatique face aux mesures de scurit appliques

Selon le responsable, les utilisateurs ne sont pas encore assez attentif quand ils
manipulent lordinateur. Il y aurait encore de la sensibilisation faire au sein de lcole.
En effet, le service informatique explique avoir mis en place des mesures techniques,
afin de scuriser un maximum linformation, mais peu de collaborateurs sont au
courant de ces mesures et parfois, ils prennent des initiatives qui peuvent nuire la
scurit.
Manque flagrant de communication et de formation interne

Nous constatons que dans cette cole, il y a trs peu de communication concernant la
scurit de linformation auprs des utilisateurs. Elle se fait seulement lorsque des
incidents ou de nouvelles menaces apparaissent. Cest pourquoi les utilisateurs
prennent des mesures personnelles selon leurs habitudes, mais ne sont pas forcment
conscients de la prise de risque quils font prend au SI de lcole.
Il y a donc un foss entre ce que pense communiquer le service informatique et ce que

les utilisateurs peroivent.
6.2.3 Impacts de la sensibilisation en HES
Aprs linterview des collaborateurs de ces deux coles, nous avons peru un manque
assez important dinformation, de communication et de formation de la part du service
informatique et de la direction de lcole. Alors pourquoi y-a-t-il encore cet cart de
vision entre les responsables de la scurit et les utilisateurs ? Quels impacts cela a-t-il
sur les utilisateurs et le SI ?
Charte informatique inutile actuellement

Nous pouvons relever plusieurs points sur la manire dont la communication est faite.
En effet, premirement une charte a t tablie, mais aucun collaborateur ne la lu ces
cinq dernires annes. De plus, elle nest plus explique lors de lembauche dun
nouvel employ. Cet tat de fait un impact sur le collaborateur, il ne sait pas du tout
quoi sen tenir en matire de scurit. Il va donc mettre en place ce quil connait et tant
pis pour les ventuelles erreurs ou manquement la scurit. La direction devrait au
moins la soumettre aux nouveaux employs ou la leur expliquer lors de leur
engagement, afin de partager sa vision de la scurit avec ses collaborateurs.
Courriers lectroniques perdus dans la masse

Deuximement, le service informatique envoie que des courriers lectroniques de
rappels ou davertissement. Cest une bonne manire de communiquer, cependant, ce
nest quune transmission de message, il ny pas de suivi. Gnralement, ce genre de
message se perd dans la masse des messages non lus, parce que les collaborateurs
nont pas forcment le temps de les lire. Un courrier lectronique transmis lensemble
des collaborateurs est devenu banal, donc limpact est minime sur lutilisateur. Il
faudrait crer avant cela une communication qui puissent les rendre attentif au fait que
cest important de lire un message provenant du service informatique.
Explications et formations inexistantes

Troisimement, il ny a aucune explication sur les enjeux de la scurit des
informations au sein de lcole. Tout le monde est videmment conscient quil est
ncessaire de scuriser les informations, mais ils nont pas reu de communication
exacte ce sujet. Il y a un manque concernant la communication de base, afin de
pouvoir amener tout le monde au mme niveau. Ainsi, la direction pourra crer une
synergie et une culture dentreprise en matire de protection des informations. Donc,
chacun se sentira concerner dans le processus de scurit.
Ensuite, il ny a pas de formation explicite, le service informatique explique seulement

aux collaborateurs qui le demandent, comment faire certaines manipulations de
scurit avec leur ordinateur. Une quipe devrait donc tre cre afin dtablir un
programme de formation, qui permet dintgrer les usages scuritaires et dimpliquer
les utilisateurs, afin quils sachent comment faire, comment ragir, et comment rduire
limpact de leurs manipulations.
Message de scurit flou

Quatrimement, le fait quil manque dinformation et dexplications, contribuent
laisser les utilisateurs dans le flou concernant la vision de la scurit de la direction et
du service informatique de lcole. Il ny a pas de structure, ni message clair qui est
transmis aux utilisateurs, ce qui les confortent dans les habitudes prises avec leur outil
de travail. Il faudrait que la direction tablisse un document de type politique de
scurit, afin de diffuser sa vision de la scurit au travers de linfrastructure, et ainsi
cela crera une base pour la suite de la sensibilisation et un message clair auprs des
utilisateurs.
Pas de responsable ne charge de la SSI

Enfin, il ny a pas de responsable clairement dfini en charge de la scurit du systme
dinformation. Cest le service informatique qui dans les deux cas a pour tche
dinformer les collaborateurs en matire de scurit. Il transmet des informations
seulement quand cela est rellement ncessaire, mais pas de manire continue
comme cela est prconis, afin de crer une sensibilisation auprs des utilisateurs.
6.2.4 Conclusion
En dfinitive, nous remarquons quil ny a pas de culture de protection des informations
au sein des deux HES, aucune des deux directions ne transmettent clairement leurs
visions de la scurit leurs collaborateurs. Les moyens de communication et de
formation sont inadapts, voir inexistants, les utilisateurs ne reoivent pas de
messages prcis concernant la scurit de leurs informations professionnelles et ne
connaissent pas forcment les bonnes pratiques mettre en uvre pour viter de faire
prendre des risques lcole.
Ce manque de sensibilisation auprs des utilisateurs en matire de scurit du

systme dinformation, cre un cart important entre ce que pense communiquer le
service informatique et les collaborateurs. Cela amne donc les utilisateurs et la
direction a suppos quil faille agir selon ce que le bon sens et la conscience
professionnelle voudrait.
7. Mise en place dans un cas concret
Lobjectif de ce chapitre est de proposer une manire de rduire lcart de
communication quil y a entre le centre informatique et les utilisateurs du SI dune HES
concernant la politique de scurit implante en utilisant la sensibilisation. Les
collaborateurs doivent pouvoir bnficier dun meilleur programme de sensibilisation,
pour remettre niveau leurs connaissances en matire de scurit, dans le but de
rduire les risques numrs tout au long de ce travail.
Nous proposons des amliorations qui motiveraient tous les collaborateurs user des
bonnes pratiques de scurit recommandes par le service informatique. Cette
campagne doit leur faire prendre conscience quils font partie intgrante du processus
de SSI install par lentreprise.
Nous suggrons de structurer le programme de sensibilisation de la manire suivante :
Phase 1 : Planification ;
Phase 2 : Conception ;
Phase 3 : Diffusion ;
Phase 4 : Evaluation ;
Phase 5 : Maintenance.
De plus nous proposons, de partager la diffusion en deux tapes :
Etape 1 : piloter le programme avec un groupe limit une dizaine dutilisateurs
cibles, pour sassurer de la pertinence du contenu et son droulement. Suite
ce pilote, nous procderons aux amliorations ncessaires.
Etape 2 : mettre en uvre pour toute lcole et ce de manire incrmentale par
groupe.
La diffusion du programme pour chacune des deux tapes se fera suivant les quatre
axes suivants :
Axe 1 : Information
Axe 2 : Communication
Axe 3 : Formation
Axe 4 : Evaluation
Les points suivants dcrivent chacune des phases et leur contenu.
7.1 Planification de la sensibilisation
Tout dabord, il faut constituer une quipe pour mener bien une campagne de
sensibilisation. Pour cela, nous suggrons de puiser dans les ressources de lcole.
7.1.1 Acteurs impliqus

Nous proposons de constituer une quipe qui sera compose de ressources provenant
des diffrents services ci-aprs.
Tableau 4 : Acteurs impliqus et leurs responsabilits
Mtiers Pourquoi Responsabilits

Chef de projet Pour coordonner tout le De crer le programme et de
programme. coordonner toutes les activits et
ressources pour assurer le succs du
lancement de ce programme.
Service Il est en charge de la Etablir une politique de scurit.
informatique gestion du systme Etablir les points de scurit
informatique de lcole et communiquer.
de sa scurit.
Service Ses comptences sont Etablir la communication (messages)
communication utiles, car il est en charge concernant le projet faire passer
de la gestion des auprs des collaborateurs.
communications au Etablir le choix des supports
travers de lcole. De d'information, de communication, de
plus, il travaille en troite formation en rapport avec les points de
collaboration avec un scurit tablis aux pralables.
graphiste et un
webmaster.
Graphiste Il soccupe du graphisme Etablir les graphismes utiles la
des diffrentes communication sur plusieurs supports
campagnes de en rapport avec les points de scurit
communication travers tablis aux pralables.
la HEDS, ses
comptences sont donc
utile pour ce projet.
Webmaster Il soccupe de la gestion Etablir les supports virtuels pour la
de lintranet des deux communication en rapport avec les
HES. points scuriser tablis aux
pralables.
Ressources Il soccupe de la gestion Sa responsabilit sera :
humaines des employs, ses Mettre en uvre la communication lors
services seront apprcis des embauches, des runions de
lors de lengagement des prsentation de l'entreprise.
nouveaux employs et
par la suite.
7.1.2 Organisation
Ensuite, nous avons tabli un planning, qui permet de visualiser dans le temps les
diffrentes tches accomplir pour la campagne de sensibilisation. Il faut, cependant,
prendre en compte quil reflte une situation idale . C'est--dire quil faut supposer
que la direction ait donn son accord, et que les collaborateurs dont nous avons
besoin, sont libres aux moments voulus et peuvent consacrer une partie de leur temps
de travail la ralisation de ce projet.
Toutefois, ce plan nest pas optimis, certaines tches peuvent tre faites en parallle
par des acteurs diffrents. De plus, le nombre de jours propos est approximatif, car
nous navons pas les moyens pour dtermin exactement le temps pour effectuer une
tche.
Voici dans les grandes lignes le planning propos :

Phase 139 : Planification Dure 3 semaines ;
Phase 240 : Conception Dure 11 semaines ;
Phase 3 : Diffusion
o Etape 141 (pilote) : Dure 12 semaines ;
o Etape 242 (relle) : Dure 24 semaines (d au nombre dutilisateurs) ;
Phase 4 : Evaluation Dure
o Etape 143 (pilote) : 5 semaines (inclus amliorations) ;
o Etape 244(relle) : 5 semaines (inclus amliorations) ;
Phase 545 : Maintenance. Dure continue.
7.1.3 Evaluation du budget obtenir

Le budget pour cette campagne est constitu entirement de ressources disponibles
au sein de lcole. Pour les ressources matrielles dont le cot est minimal, il devrait
est absorb dans les budgets dj existants.
En ce qui concerne les ressources humaines, nous avons toutefois, voulu reprsenter
financirement le temps pass par lquipe de projet afin de nous faire une ide sur le
cot, bien que selon les entreprises, les ressources internes ne sont pas toujours
39
Vous trouverez la planification de la phase 1, ainsi que son budget lannexe 6
40
41
Vous trouverez la planification de la phase 3 tape 1, ainsi que son budget lannexe 8
42
43
44
45
factures au projet. Nous avons dtermin que le cot moyen dun collaborateur pour
ce projet est denviron 100'000 francs par anne et travaille 210 jours par an, ce qui
revient environ 476 CHF par jour. Nous avons estim la charge de travail effective
jusqu la fin de la phase 4 est denviron 152 jours (effort), ce qui donne un cot
approximatif de 72'000 CHF en ressources humaines.
7.2 Conception du programme de sensibilisation

Ensuite, nous dveloppons le programme de sensibilisation. Nous devons comme il est
prconis par lENISA, et Microsoft, cibl les utilisateurs afin de leur proposer un
contenu qui les touchent directement par des canaux de communication adapts et
ainsi les intresser la scurit des informations quils manipulent.
7.2.1 Groupes dutilisateurs cibles

Premirement, afin de choisir la bonne forme de communication dont ils ont besoin, il
faut dfinir les groupes cibls dutilisateurs que nous souhaitons atteindre. Au sein de
lcole, la communication en matire de scurit touche trop globalement les
utilisateurs, sans prendre en compte leur besoin relatifs leurs tches.
En effet, chaque type dutilisateur na pas les mmes besoins en matire de

sensibilisation. Un membre de la direction nutilise pas les mmes informations quun
professeur. Cest pourquoi, en prenant en compte la structure des employs au sein
dune cole telle quune HES, nous proposons de faire quatre groupes cibles ayant des
besoins de sensibilisation et de formation diffrents.
Tableau 5 : Groupes dutilisateurs cibls et les objectifs de sensibilisation
Groupes
Niveaux de sensibilisation Objectifs de la sensibilisation
cibles
Accroitre la comprhension dun tel
projet.
Sassurer de leur engagement et
support lors de la campagne.
Ils ont un niveau de conscience Rester informs sur les dangers
Direction
lev du leurs responsabilits. des technologies utilises au sein
de ltablissement, pour permettre
des prises de dcisions
stratgiques.
Rester eux-mmes informs et
forms.
Certains ne se rendent pas Rendre attentif aux risques et aux

Personnel encore bien compte des dangers auquel est expos le SI de
administratif consquences de leurs lcole par leur propre utilisation.
et technique manipulations sur les outils Mettre en place une manipulation
informatiques. plus scurise du systme.
Certains ne se rendent pas Rendre attentif aux risques et aux

encore bien compte des dangers auquel est expos le SI de
Professeurs
consquences de leurs lcole par leur propre utilisation.
et assistants manipulations sur les outils Mettre en place une manipulation
informatiques. plus scurise du systme.
Professeurs,
assistants et Rendre attentif aux failles de
Ils ont un niveau de conscience
scurit quil y a encore de par leur
personnel plus leve due leur mtier.
manipulation du systme.
informatiques
7.2.2 Messages cibls
Ensuite, ces groupes doivent comprendre quils ont la scurit des informations de
lcole entre leurs mains, que les informations quils manipulent doivent rester
confidentielles, disponibles et intgres pour leur travail et la rputation de lcole. Cest
pourquoi, la communication lors du programme doit utiliser un message qui les touche.
Tableau 6 : Messages faire passer auprs des groupes cibles
Groupe cible Messages

Intgrez vos collaborateurs la scurit des informations de votre
cole.
Prenez des dcisions sur les technologies de linformation de votre
Direction
cole en toute connaissance de cause.
Restez un lment important de la scurit des informations de
votre cole.
Personnel
Devenez un lment important de la scurit des informations de
administratif
votre cole.
et technique
Professeurs Devenez un lment important de la scurit des informations de
et assistants votre cole.
Personnel
Informatique
Restez un lment important de la scurit des informations de
(incluant votre cole.
professeurs et
assistants)
7.2.3 Contenu adapt de la sensibilisation

Deuximement, il faut dfinir le contenu de la sensibilisation laquelle ces groupes
seront soumis. Actuellement, au sein de lcole, le contenu est le mme pour chacun et
reste trs minime. En effet, ces groupes ont des utilisations et des connaissances des
technologies de linformation diffrentes. Un professeur informaticien aura plus de
connaissances sur ces technologies quun professeur de franais. Cest pourquoi en
prenant en compte les tches des collaborateurs de lcole, nous pourrions cibls le
contenu de la sensibilisation selon le tableau ci-dessous.
A noter que la sensibilisation aux virus, lhameonnage et aux logiciels malveillants,

ce ferait de toute faon lintrieur de ces thmes et par le biais des informations et
communications envoyer par le centre informatique lorsquil le juge opportun.
Voici une suggestion de thmes qui pourraient tre traits lors durant la premire
anne du programme.
Tableau 7 : Contenu de la sensibilisation adapt aux groupes cibles
Groupes cibles Contenu de la sensibilisation

Scuriser le poste de travail :
mdias mobiles
Direction Scurit en dehors du bureau

Tlphones mobiles
Documents papiers
mot de passe
Personnel administratif mdias mobiles

et technique Utiliser les outils des fins professionnelles
Ingnierie sociale
Documents papiers
mot de passe
mdias mobiles
Professeurs et assistants Utiliser les outils des fins professionnelles

Scurit en dehors du bureau
Ingnierie sociale
Documents papiers
Utiliser les outils des fins professionnelles
Personnel Informatique Ingnierie sociale
(incluant professeurs et Scurit en dehors du bureau
assistants)
Documents papiers
En effet, pour les membres de la direction, ils sont souvent amens utiliser leurs
tlphones mobiles pour leur travail, ils sont amens par leur responsabilit se
dplacer lextrieur de lcole ou travailler la maison et ont parfois besoin
dutiliser diffrents supports pour la sauvegarde de leur travail ou lchange
dinformations avec leurs partenaires de travail. Ils traitent aussi des documents
confidentiels.
Ensuite, nous en venons au cur des collaborateurs qui ont besoin dtre sensibiliss
pour un nombre de points plus importants que leurs autres collgues. Ces deux
groupes, les professeurs et le personnel administratif et technique, sont des groupes
trs htrognes avec des responsabilits et des tches qui diffrent et des
connaissances toutes aussi varies. Cest pourquoi nous ne pouvons pas plus les
subdiviser.
Effectivement, un grand nombre de ces utilisateurs ont encore des difficults avec la
scurit de leurs outils informatiques. Beaucoup utilisent leurs outils informatiques
des fins personnelles pendant leurs pauses, connectent des mdias sur leur poste ou
lancent des impressions et oublient daller rcuprer les documents. Ensuite, il y a
aussi le problme dingnierie sociale qui est pos, car beaucoup pour tre serviable
rpondent des questions sensibles par tlphone ou par courrier lectronique sans
se demander si linterlocuteur est bien celui quil prtant tre, pour ne citer quun
exemple parmi limmense palette de possibilits de lingnieur sociale.
En revanche, en ce qui concerne la scurit en dehors du bureau, nous avons estim

que les professeurs sont amens se dplacer plus souvent ou utiliser chez eux des
applications pour leur travail que le personnel administratif et technique ne fait pas.
Gnralement, ceux-ci ne travaillent pas chez eux ou quand ils se dplacent cest
souvent dans un endroit similaire lenvironnement de lcole.
Pour finir avec les informaticiens, ayant dj beaucoup de connaissances sur les
faiblesses des technologies de linformation, il est prfrable daxer la sensibilisation
sur des points o ils ont aussi de petites faiblesses en tant qutre humain. Comme le
fait que par exemple, lingnierie sociale prend diffrentes formes, lorsquils utilisent
des outils de lcole en dehors, il faut quils fassent attention et les documents
imprims doivent tre rcuprs immdiatement et dtruits si ceux-ci prsentent une
sensibilit.
7.2.4 Moyens de communication adapts

Troisimement, il faudrait dfinir des moyens de communication adapts la structure
de lcole, aux groupes cibls et au contenu de la sensibilisation. Au sein de lcole, les
seuls canaux de communication quils utilisent sont le courrier lectronique ou
oralement lorsque lutilisateur reoit des informations de son centre informatique.
En effet, le moyen de communiquer est primordial afin que les individus auxquels nous
nous adressons intgrent le message que nous souhaitons faire passer. Il faut que les
collaborateurs puissent prendre le temps de sinformer, dapprendre et de se former
pour retenir et appliquer lessentiel du programme de sensibilisation mis en uvre.
Cest pourquoi nous avons slectionn les diffrents canaux de communication

adapts aux types dutilisateurs, linfrastructure dune HES, et trois des quatre
dimensions quun programme de sensibilisation doit avoir. A lannexe 13, vous
trouverez le tableau avec les canaux non retenus et leurs justifications.
Tableau 8 : Canaux de sensibilisation adapts aux utilisateurs
Canaux Pourquoi
Information
Direction Soutenir et entretenir le message de scurit de manire
orale ou crite.
Chef de groupe Entretenir le message de scurit de manire orale ou
crite.
Rglement Les rglements existent dj.
Charte informatique La charte informatique existe dj.
Contrat Les contrats existent dj.
Politique de scurit Elle prend du temps, des ressources, mais elle est
essentielle la diffusion de la scurit. Donc elle est
importante mettre en place.
Confrence Il faut prendre du temps pour tablir le contenu, trouver
les collaborateurs responsables, agender un moment qui
convienne une majorit de collaborateurs concerns.
Mais cela fait parti du processus de sensibilisation, afin
que les employs se sentent impliqus dans le
programme.
Communication
Questionnaire Il faut prendre le temps pour tablir des questionnaires
axs sur les diffrents sujets de scurit, mais le support
ne cot rien, surtout si celui-ci se trouve en ligne.
Site intranet L'intranet existe dj, il faut juste prendre le temps de
stocker et mettre en forme le contenu de la sensibilisation.
Ecran de veille Les crans de veille en eux-mmes ne cotent rien et ils
sont installs par le service informatique.
Fond dcran Idem que pour les crans de veille.
Message sur lordinateur Les messages ne cotent rien, il faut juste prendre le
temps de personnaliser un message destin un
collaborateur prcis.
Courrier lectronique Les courriers lectroniques ne cotent rien et sont
envoys par le service informatique, dans le cadre de leur
mission.
Newsletter Les newsletters ne cotent rien et sont envoys par le
service de communication, dans le cadre de leur mission.
Affiches Les affiches prennent du temps pour leur conception et le
support et limpression peuvent coter. Mais ensuite, leur
contenu peut tre repris sur dautres supports.
Helpdesk Cest un moyen de communication qui existe dj et il est
amen avec les interventions que le service a fournir.
Formation
Mise en situation Il faut en tablir le contenu, les collaborateurs qui les
dispensent, occuper une salle, agender la mise en
situation, et suivant ce que le programme contient,
compter les cots en support matriel.
Atelier Idem que pour les mises en situation.
Vous trouverez en annexe 14, un exemple46 de moyen de communication qui pourrait

tre utiliss au sein des deux HES.
7.3 Diffusion du programme de sensibilisation

Cette phase du programme est la mise en uvre visible de la sensibilisation. Nous
allons donc prsenter aux utilisateurs le programme de sensibilisation.
La diffusion se fera en deux tapes :
Etape 1 : piloter le programme avec un groupe limit une dizaine dutilisateurs

cibles, pour sassurer de la pertinence du contenu et son droulement. Suite
ce pilote, nous procderons aux amliorations ncessaires.
Etape 2 : mettre en uvre pour toute lcole et ce de manire incrmentale, par

groupe.
7.4 Evaluation du programme de sensibilisation

Lvaluation se fera autant aprs ltape de pilotage que la mise en uvre.
Il y a deux sortes dvaluation possibles :
Pour la premire, il sagit de faire valuer chaque collaborateur comment il a peru

cette sensibilisation. Les questions qui pourraient tre poses par lintermdiaire dun
questionnaire anonyme, sont les suivantes :
Avez-vous compris limportance de cette sensibilisation ?

Les objectifs de cette campagne vous ont-ils t clairement expliqus ?
Avez-vous t touchs par le systme de communications mis en place ?
Avez-vous t touchs par le contenu de la sensibilisation propose ?
Les points abords vous ont-ils intresss ?
46
Exemple de communication au moyen daffiches tir du site de CASES, qui proposent une rflexion
sur son comportement face la scurit de son poste de travail :
CYBERWORLD AWARENESS & SECURITY SURVEY ENHANCEMENT SERVICES. Se protger
[en ligne]. https://www.cases.lu/fr/la-sensibilisation-et-la-formation.html (consult le 02.07.2013)
Avez-vous appris des bonnes pratiques jusque l inconnues ?
Avez-vous des suggestions ?
Avez-vous des points ngatifs dont vous souhaitez faire part ?
Comprenez-vous mieux limportance de la scurit ?
Allez-vous mettre en pratique la sensibilisation reue ?
Pour la seconde, il sagit dvaluer si la campagne de sensibilisation porter ses fruits,
en utilisant les moyens suivants :
Tableau 9 : Moyens dvaluation de la campagne de sensibilisation
Moyens Explications
Questionnaire Etablir un questionnaire avec des questions comme : Que
feriez-vous si choix multiple. Les faire remplir chaque
collaborateur.
Rapport dincidents Grce aux rapports dincidents, lquipe en charge de la
scurit peut tablir sil y a plus ou moins de fautes commises
par leurs collaborateurs. Laudit est faire sur le long terme.
Helpdesk Ce sont les collaborateurs qui peuvent donner un ressenti
global sur la prise de conscience de leurs collgues concernant
leur sensibilisation. Ils sont proches deux et donc en direct
avec le terrain.
Ces moyens ne sont pas exhaustifs, et correspondent linfrastructure dune HES.
7.4.1 Besoin de sensibilisation

Les questionnaires pourraient aussi permettre dvaluer le niveau de chaque
collaborateur et leur permettre de ne pas avoir besoin de participer une ou deux fois au
programme de sensibilisation. Ils seraient ainsi dispenss de participer au programme
de sensibilisation tant quils seront jugs avertis .
7.5 Maintenance sur le long terme
Pour finir, cette dernire phase, consiste maintenir le programme de sensibilisation
sur le long terme afin de constituer une culture solide de la scurit des informations
au sein de lcole.
7.5.1 Frquence du programme et des rvisions

En effet, une campagne de sensibilisation nest pas un programme faire une fois de
temps en temps, cest un programme dispenser et mettre jour continuellement.
Comme la propos lors de notre interview le directeur adjoint de la HEG, ce
programme pourrait tre intgr au processus Qualit de lcole et donc tre revue
tous les dix-huit mois comme tous processus Qualit. De plus, il faudrait nommer un
collaborateur qui en serait charg. Un employ ayant dj collabor au programme,
comme aux ressources humaines ou au service de communication. Ainsi, les coles
auront, elles aussi, un responsable de la scurit des systmes dinformation ,
comme cela ce fait ailleurs. Ce responsable devrait tre nomm au plus pour la
maintenance du programme.
7.5.2 Contenu de la communication de sensibilisation

La communication devrait tre propose sur lintranet de lcole afin que les
collaborateurs puissent sinformer en tout temps. En effet, si nous nous basons sur ce
que dplorent certains interviews, cest le manque de rcapitulatif pour se remmorer
les points de scurit quils auraient oublis.
De plus, la communication de rappels ou davertissement concernant de nouvelles

menaces ou nouveauts technologiques devrait se faire de manire continue au sein
de lcole, afin de coller au plus prs de lactualit. Le service informatique ou le
service de communication interne devrait en avoir la responsabilit.
7.5.3 Nouveaux collaborateurs

Pour les nouveaux employs, les ressources humaines devraient les informer de la
vision de lcole en matire de scurit de linformation lors de la signature de leur
contrat. Elles leur demanderont de lire la charte informatique, qui indiquera o trouver
le site intranet contenant les supports de sensibilisation. Ensuite, elles devraient
rsumer lors de la prsentation de lcole aux nouveaux collaborateurs la vision de
lcole en matire de scurit. Enfin, les nouveaux arrivs intgreraient le processus
mis en place pour les autres employs.
7.6 Conclusion
Avec ces diffrentes propositions, les utilisateurs deviendront des collaborateurs
avertis et lcart de vision de la SSI pourra tre rduit entre les utilisateurs, le service
informatique et la direction.
Toutefois, comme nous lavons constat, cela demande du temps pour les ressources
internes, ainsi quune volont de la direction pour mettre en uvre ce programme de
sensibilisation. En plus, comme nous lavons vu les sujets de sensibilisation sont
nombreux et ne pourront donc pas tous tre pris en compte en mme temps. Cest
pourquoi, lcole devrait identifier les priorits ainsi que des quick-wins 47 mettre
en place, pour obtenir des rsultats plus rapidement, et rgler les problmes les plus
importants. Il faudrait par exemple commencer tout simplement par informer les
collaborateurs sur la scurit de leur poste de travail et des documents qui restent sur
les copieurs, nous pensons que ce serait dj un premier pas.
47
Ce sont des mesures effet rapide.
8. Synthse
En conclusion, ce quil faut retenir pour rduire limpact du jugement de ltre humain et
de ses actes sur le systme dinformation de lentreprise, cest de partager la vision de
lentreprise en matire de scurit du systme dinformation, ds lengagement dun
collaborateur. Quafin de mener bien une campagne de sensibilisation en un
programme structur et reconnu, il sagit dobtenir le soutien des instances dirigeantes
pour lgitimer ce programme de sensibilisation au travers de lentreprise.
Ensuite, travers ce programme, tablir, un processus pour informer et communiquer

sur limportance de linformation et son rle nvralgique dans les activits de
lentreprise, des risques quelle encourt et des consquences des actes humains. Puis,
de former les collaborateurs afin de leur inculquer une vritable comprhension des
bonnes pratiques de scurit, par des moyens de communication adapts.
Pour finir, maintenir le processus de sensibilisation et dvaluation en continue au sein

de lentreprise, afin dtablir et impliquer les collaborateurs dans la culture de la
scurit du systme dinformation de lentit. Et par consquent, en faire des
utilisateurs avertis, et donc un atout pour la scurit de lentreprise.
Bibliographie
Articles en ligne :
GRATIOLET, Franois. Sensibilisation la cyber-scurit : se prmunir des

vulnrabilits dorigine humaine. In : Le Cercle Les Echos [en ligne]. 2013.
http://lecercle.lesechos.fr/entrepreneur/tendances-
innovation/221177184/sensibilisation-a-cyber-securite-premunir-vulnerabilites
(consult le 24.08.2013)
KARSENTI, Thierry, HASSID, Olivier, RONDEL, Philippe. Scurit

informatique- La prvention des menaces en entreprise. In : Linfo
Expoprotection [en ligne]. 2012.
http://www.info.expoprotection.com/?IdNode=1308&Zoom=ad64f6f5c65af1a49d
444f2b8346dd33 (consult le 10.07.2013)
Cours :
ADONIDIS-FLCKIGER, Christine. Urbanisation des SI [prsentation

PowerPoint]. 2013. Supports de cours : 626-1 : Urbanisation des SI, Haute
Ecole de Gestion de Genve, filire Informatique de gestion, anne
acadmique 2012-2013.
HAURI, Rolf. Gouvernance de la scurit [prsentation PowerPoint]. 2011.

Supports de cours : 634-2 Gouvernance de la scurit, Haute Ecole de Gestion
de Genve, filire Informatique de gestion, anne acadmique 2010-2011.
Livres :
BOULET, Patrick. Management de la scurit du SI. Paris : Herms Sciences,

2007. 246 p. : ill. (Management et Informatique)
CALE, Stphane, TOUITOU, Philippe. La scurit informatique : rponses

techniques, organisationnelles et juridiques. Paris : Herms Sciences, 2007.
282 p. : ill. (Management et Informatique)
HARLE, Thierry, SKRABACZ, Florent. Cls pour la scurit des SI. Paris :
Herms Sciences, 2004. 296 p. : ill. (Management et Informatique)
PILLOU, Jean-Franois, BAY, Jean-Philippe. Tout sur la Scurit informatique.

2me d. Paris : DUNOD, 2005 -2009. 232 p. (Commentamarche.net)
Livres lectroniques :
BENNASAR, Matthieu, BRIGAUD, Julien, COMBES, Ltitia. Sensibilisation la

scurit de linformation 2.0 [en ligne]. Livre Blanc. PARIS : LEXSI
INNOVATIVE SECURTIY, 2013. 18 p.
https://www.lexsi.fr/sites/default/files/publications/lb_sensibilisation_a_la_securit
e_de_linformation_2.0.pdf (consult le 04.06.2013)
DOUCENDE, Bruno. Scurit des Systmes dInformation [en ligne]. Livre

Blanc. Marseille : Groupe 4, 4IM SAS, 2008. 32 p.
http://www.globalsecuritymag.fr/IMG/pdf/Livre_Blanc_SSI_v1.pdf (consult le
30.07.2013)
Norme :
ORGANISATION INTERNATIONALE DE LA NORMALISATION (ISO).

Technologies de l'information Techniques de scurit Code de bonne
pratique pour la gestion de la scurit de l'information. 1re d. Suisse : ISO,
2005. 134 p. Norme Internationale ISO/CEI 27002:2005 (F).
Sites web :
CERN. Posters de sensibilisation la scurit informatique [en ligne].

https://security.web.cern.ch/security/training/fr/posters.shtml (consult le
02.07.2013)
CLUSIF. Le rle de lorganisation humaine dans la SSI. In : Les synthses du

CLUSIF [en ligne]. Publi le 20 juin 2013.
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Humain-SSI-2013-
Synthese.pdf (consult le 29.07.2013)
COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTES. Guide

La scurit des donnes personnelles [en ligne]. Edition 2010. Inconnu :
CNIL, 2010. 48 p.
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_securite-VD.pdf
(consult le 05.07.2013)
CONSIO-TECHNOLOGIES. Sensiwave, un nouveau lien entre lentreprise et

ces collaborateurs [en ligne]. http://www.conscio-
technologies.com/?option=com_content&view=article&id=109&Itemid=92
(consult le 16.09.2013)
CYBERWORLD AWARENESS & SECURITY SURVEY ENHANCEMENT

SERVICES. Se protger [en ligne]. https://www.cases.lu/fr/la-sensibilisation-et-
la-formation.html (consult le 02.07.2013)
DELOITTE, 2013. Blurring the lines 2013 TMT Global Security Study [PDF].
2013. In : Deloitte.
http://www.deloitte.com/view/en_GX/global/industries/technology-media-
telecommunications/a4f47802b967b310VgnVCM3000003456f70aRCRD.htm#
(consult le 29.07.2013)
DUVAUCHELLE, Antoine pour lAgence nationale de la scurit des systmes

dinformation. Guide dhygine informatique [en ligne]. 1re d. Paris : ANSSI,
2013. 52 p.
http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf (consult
le 05.07.2013)
ENISA. Le nouveau guide utilisateur : comment amliorer la sensibilisation la

scurit de linformation. 2008, 110p.
http://www.enisa.europa.eu/publications/archive/new-users-guide-fr (consult le
05.07.2013)
ERNST AND YOUNG, 2012. Fighting to close the gap 2012 Global
Information Security Survey [PDF]. 2012. In : PricewaterhouseCoopers.
http://www.ey.com/Publication/vwLUAssets/Fighting_to_close_the_gap:_2012_
Global_Information_Security_Survey/$FILE/2012_Global_Information_Security
_Survey___Fighting_to_close_the_gap.pdf (consult le 29.07.2013)
EPFL. Campagne de sensibilisation la Scurit Informatique [en ligne].
https://secure-it.epfl.ch/sensi/ (consult le 02.07.2013)
GOMAS, Olivier, RAISIN, Yves, ROZIER, Richard. Le facteur humain. In :

CLUSIR Rhne-Alpes [en ligne]. http://www.clusir-
rha.fr/sites/default/files/upload/Lyon/SSI/CLUSIR_FACTEUR%20HUMAIN_161
903.pdf (consult le 29.07.2013)
HAPSIS. La protection de vos informations dans un environnement complexe

[en ligne]. http://www.se-
force.com/index.php?option=com_content&view=article&id=116&Itemid=152
(consult le 24.08.2013)
HAUTE ECOLE SPECIALISEE DE SUISSE OCCIDENTALE. Qui sommes-

nous [en ligne]. http://www.hes-so.ch/fr/sommes-nous-26.html (consult le
02.07.2013)
ILLAND, Joseph pour le Centre national de la recherche scientifique. Politique
de Scurit des Systmes dInformation [en ligne]. 1re d. Inconnu : CNRS,
2006. 26 p. http://www.dgdr.cnrs.fr/fsd/securite-
systemes/documentations_pdf/securite_systemes/pssi-v1.pdf (consult le
05.07.2013)
LARBI, Abdelkader. Contribution la mise en place dun dispositif de veille

stratgique dans une entreprise commerciale, Cas de NAFTAL [en ligne]. 2006.
Post Graduation Spcialise en Management de linformation. Centre de
Recherche sur lInformation Scientifique et Technique, Alger.
http://www.memoireonline.com/04/08/1066/m_contribution-mise-en-place-
dispositif-veille-strategique-naftal1.html (consult le 29.07.2013)
MELANI, 2012. Sret de linformation - Situation en Suisse et sur le plan

international, Rapport semestriel 2012/I (janvier juin) [PDF] In : Confdration
suisse.
http://www.melani.admin.ch/dokumentation/00123/00124/01526/index.html?lan
g=fr (consult le 02.07.2013)
MICROSOFT. Facteurs cls pour le dveloppement de programmes efficaces

de sensibilisation et de formation la scurit des informations. In :
Sensibilisation la scurit [en ligne]. 2006. http://technet.microsoft.com/fr-
fr/security/cc165442.aspx (consult le 05.07.2013)
ORGANISATION INTERNATIONALE DE NORMALISATION. Normes [en

ligne]. http://www.iso.org/iso/fr/home/standards.htm (consult le 05.07.2013)
ORGANISATION INTERNATIONALE DE NORMALISATION. A propos de lISO

[en ligne]. http://www.iso.org/iso/fr/home/standards.htm (consult le
05.07.2013)
PRICEWATERHOUSECOOPERS, 2008. Safeguarding the new currency of

business 2008 Global State of Information Security [PDF]. 2008. In :
PricewaterhouseCoopers.
http://www.pwc.fr//assets/files/pdf/2008/12/pwc_safeguarding_the_new_currenc
y.pdf (consult le 29.07.2013)
PRICEWATERHOUSECOOPERS, 2011. Respect - but still restrained 2011
Global State of Information Security Survey [PDF]. 2011. In :
PricewaterhouseCoopers.
http://www.pwc.fr//assets/files/pdf/2010/12/pwc_2011_it_security_survey_report
.pdf (consult le 29.07.2013)
PRICEWATERHOUSECOOPERS, 2013. Tendance et enjeux de la scurit de

linformation 2013 Global State of Information Security Survey [PDF]. 2013.
In : PricewaterhouseCoopers.
http://www.pwc.fr//assets/files/pdf/2013/03/pwc_global_state_information_secur
ity_survey.pdf (consult le 29.07.2013)
PRICEWATERHOUSECOOPERS, 2013. Changing the game, Key findings

from 2013 Global State of Information Security Survey [PDF]. 2013. In :
PricewaterhouseCoopers. http://www.pwc.com/gx/en/consulting-
services/information-security-survey/assets/2013-giss-report.pdf (consult le
29.07.2013)
TERRANOVA. Sensibilisation Scurit de lInformation [en ligne].

http://www.tnawareness.com/fr/securite-information (consult le 16.09.2013)
TONINATO, Aurlie. La Haute Ecole de gestion victime dune grosse fraude :

270 lves doivent repasser lexamen ! In : Tribune de Genve [en ligne].
Dernire modification le 21.02.2012. http://www.tdg.ch/geneve/actu-
genevoise/haute-ecole-gestion-victime-grosse-fraude-270-eleves-doivent-
repasser-lexamen/story/28574846 (consult le 30.07.2013)
WIKIPEDIA. Facteur de risque. In : Wikipdia [en ligne]. Dernire modification

de cette page le 13 mars 2013 09 :27.
http://fr.wikipedia.org/wiki/Facteur_de_risque (consult le 24.08.2013)
WIKITIONNAIRE. Sensibilisation. In : Wikitionnaire [en ligne]. Dernire

modification de cette page le 16 aot 2012 19 :02.
http://fr.wiktionary.org/wiki/sensibilisation (consult le 21.06.2013)
Travail de Bachelor :
MARQUES, Henrique. Se prmunir contre les menaces provenant de ses propres

employs. 2008. 70 p. Mmoire, Informatique de Gestion, Haute Ecole de Gestion de
Genve. 2008.
Vido en ligne :
Deloitte. Situation de cyber attaque susceptible de menacer votre entreprise [en ligne].
http://www.deloitte-france.fr/video/CPL/video.htm, dure : 4 min (consult le
16.09.2013)
Annexe 1 : Canaux de communication proposs
Tableau des moyens dinformation
Tableau des moyens de communication
Tableau des moyens de formation
Annexe 2 : Mail de rponse
Annexe 3 : Interviews des entreprises prives
Annexe 4 : Interviews la Haute Ecole de Sant
Annexe 5 : Interviews la Haute Ecole de Gestion
Annexe 6 : Plan Phase 1 - Planification
Annexe 7 : Plan Phase 2 Conception
Annexe 8 : Plan Phase 3 Diffusion Etape 1
Annexe 9 : Plan Phase 3 Diffusion Etape 2
Annexe 10 : Plan Phase 4 Evaluation Etape 1
Annexe 11 : Plan Phase 4 Evaluation Etape 2
Annexe 12 : Plan Phase 5 Maintenance
Annexe 13 : Canaux de communication non adapts
Annexe 14 : Affiches de sensibilisation

Travail de Bachelor Borboencs

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Travail de Bachelor Borboencs

Загружено:

Авторское право:

Доступные форматы

Sensibilisation la scurit du systme

dinformation : Moyens utiliss, impacts

Travail de Bachelor ralis en vue de lobtention du Bachelor HES

Conseiller au travail de Bachelor :

Rolf HAURI, Charg denseignement HES

Carouge, le 30 septembre 2013

Haute cole de Gestion de Genve (HEG-GE)

Filire Informatique de Gestion

Fait Carouge, le 30 septembre 2013

Liste des figures

Surtout quactuellement, toutes proportions gardes, avec les diffrents incidents de

1.2 Mthodologie de travail

Nous passerons ensuite la sensibilisation, que nous analyserons et nous tenterons

Linformation2 est au cur de toutes activits stratgiques et oprationnelles, qui

2.2 Le systme dinformation

Si lentreprise tait un tre vivant, nous pourrions comparer le fonctionnement et

Aujourdhui, le SI est presque entirement informatis. Le systme informatique est

Ce systme informatique est compos dun ensemble de moyens technologiques,

2.2.1 Types de menaces

Ces menaces sont de trois types distincts :

aux activits stratgiques et oprationnelles de lentreprise ;

2.3 La scurit du systme dinformation

En dautres termes, lobjectif de la scurit du systme dinformation (SSI) est dviter

2.3.1 Principes fondamentaux de la scurit

Tableau 1 : Principes de scurit fondamentaux de linformation

(Pillou, Bay, 2005, p. 205-206)

2.3.2 Responsable de la scurit du systme dinformation

Ces mesures sont les suivantes :

Les mesures techniques

Les mesures organisationnelles

Ce sont des mesures de management. Elles expliquent comment tablir une

Les mesures juridiques

Ce sont des mesures lgales applicables la scurit du SI. Ces dernires

Sensibiliser tout simplement les collaborateurs aux cybers menaces pouvant

Pour terminer, ce facteur de risque a deux origines :

Endogne : c'est--dire quil est gnr par lorganisation elle-mme ou

Exogne : cest quil est gnr lextrieur du primtre de contrle de

La principale menace contrairement ce que lon pourrait penser, ne vient pas

Figure 1 : Sources dincidents de scurit en 2008

(PricewaterhouseCoopers, 2008, p.27)

Figure 2 : Le top trois des menaces de scurit en 2013

(Deloitte, 2013, p.8)

Dans son rapport de 2012, la centrale fdrale d'enregistrement et d'analyse pour la

Tableau 2 : Vecteurs de risques engendrs par lemploy

Recevoir un courrier lectronique dun expditeur inconnu et en

(Marques, 2006, p.9)

La seconde dfinit la sensibilisation du point de vue biologique, ce qui nous donne un

Processus par lequel un stimulus qui, au pralable, ne dclenche aucune

Cest un processus par lequel un stimulus, qui auparavant ne dclenchait

Selon elle, la sensibilisation tente de modifier le comportement et les pratiques des

La formation vise donc enseigner une personne des aptitudes lui

Le principal objectif du dveloppement de la sensibilisation la scurit des

Et lillustre comme cela :

Figure 3 : Cycle dapprentissage la scurit des informations

(Microsoft, 2006, p.5)

Dailleurs, Monsieur Hauri, professeur la Haute Ecole de Gestion de Genve, en

Cependant, le professeur Hauri, dcompose la dimension de sensibilisation ,

Figure 4 : Dimensions de la sensibilisation en quatre axes

(R. Hauri, 2011, p.10)

Expliquons ce que signifient ces diffrents axes stratgiques dans un processus de

Tableau 3 : Dimensions de la sensibilisation

(R. Hauri, 2011, p.10)

4.3 Pour quelles raisons sensibiliser

4.3.1 Peu conscients de limportance de la scurit