Академический Документы
Профессиональный Документы
Культура Документы
par :
Claire-Stefanie BORBON
Jatteste avoir ralis seule le prsent travail, sans avoir utilis des sources autres
que celles cites dans la bibliographie.
Claire-Stefanie Borbon
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie i
Remerciements
Tout dabord, je tiens remercier Monsieur Rolf HAURI qui ma suivi tout au long de ce
travail et sest toujours montr disponible pour rpondre mes questions. Ses conseils
et ses relectures mont permis daiguiller mes recherches.
Je remercie galement les trois professionnels des entreprises prives, et tous les
collaborateurs de la Haute Ecole de Gestion et de la Haute Ecole de Sant de Genve
qui ont pris du temps pour rpondre mes interviews. Leurs prcieuses rponses
mont permis daboutir ce prsent travail.
Enfin, je tiens aussi remercier mes parents pour leur soutien, leurs relectures
attentives et leurs suggestions de lecture.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie ii
Rsum
Une entreprise doit pouvoir assurer la valeur de ses informations, comme ses
informations commerciales, clients, fournisseurs ou sous-traitants, ou encore ses
secrets de fabrication. Elle doit aussi protger son patrimoine ou encore son savoir-
faire, afin de rester comptitive sur le march conomique et prserver sa rputation.
Pour pallier aux diffrents types de menaces qui psent sur son systme dinformation,
une entreprise doit mettre en place un ensemble de moyens techniques,
organisationnels, juridiques et humains, pour protger ses ressources et garantir ses
activits.
Dans ce travail, nous nous sommes concentrs spcifiquement sur les mesures
humaines, qui visent informer, former et sensibiliser les employs de lentreprise.
Pour rpondre cette problmatique, nous avons dans un premier temps cern le rle
et les enjeux de la scurit du systme dinformation, afin de comprendre dans quel
contexte la sensibilisation doit seffectuer.
Nous avons ensuite analys les raisons pour lesquelles il est important de sensibiliser
les employs. Les mthodes recommandes par les organismes mondialement
reconnus pour mener bien une campagne de sensibilisation, sont aussi couvertes
dans ce document.
Pour finir, nous avons propos une approche pour amliorer la sensibilisation au sein
des deux Hautes Ecoles Spcialises de Genve, pour rduire le facteur de risque
humain qui pse sur son systme dinformation.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie iii
Table des matires
Dclaration......................................................................................................... i
Remerciements ................................................................................................ ii
Rsum ............................................................................................................ iii
Table des matires .......................................................................................... iv
Liste des tableaux .......................................................................................... vii
Liste des figures............................................................................................. vii
1. Introduction................................................................................................ 1
1.1 Problmatique ................................................................................................. 1
1.2 Mthodologie de travail.................................................................................. 1
2. Rle et enjeux du systme dinformation ................................................ 3
2.1 Linformation ................................................................................................... 3
2.2 Le systme dinformation .............................................................................. 3
2.2.1 Types de menaces .................................................................................... 4
2.2.2 Consquences........................................................................................... 5
2.3 La scurit du systme dinformation .......................................................... 5
2.3.1 Principes fondamentaux de la scurit...................................................... 5
2.3.2 Responsable de la scurit du systme dinformation .............................. 6
2.3.3 Types de mesures de scurit .................................................................. 7
3. Le facteur risque humain .......................................................................... 9
3.1 Dfinition ......................................................................................................... 9
3.2 Limportance de ce risque ........................................................................... 10
3.3 Les vecteurs de menaces ............................................................................ 12
4. La sensibilisation .................................................................................... 15
4.1 Dfinition ....................................................................................................... 15
4.2 Dimensions ................................................................................................... 16
4.3 Pour quelles raisons sensibiliser................................................................ 18
4.3.1 Peu conscients de limportance de la scurit ........................................ 18
4.3.2 Nouvelle gnration, nouveaux risques .................................................. 19
4.4 Intgrer la sensibilisation dans le processus de scurit ........................ 21
4.5 Statistiques actuelles en entreprise ........................................................... 23
4.5.1 Baisse des programmes de sensibilisation ............................................. 23
4.5.2 Personnel ddi....................................................................................... 24
4.5.3 Budget ..................................................................................................... 24
4.6 Conclusion .................................................................................................... 25
5. Processus de sensibilisation ................................................................. 26
5.1 Norme ............................................................................................................ 26
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie iv
5.1.1 Norme ISO 27002.................................................................................... 26
5.2 Mthodes ....................................................................................................... 30
5.2.1 Planification ............................................................................................. 32
5.2.2 Conception .............................................................................................. 33
5.2.3 Diffusion................................................................................................... 34
5.2.4 Evaluation ................................................................................................ 34
5.2.5 Maintenance ............................................................................................ 35
5.3 Comment adapter la communication.......................................................... 36
5.3.1 Convaincre, communiquer et impliquer ................................................... 36
5.3.2 Message court et original ........................................................................ 36
5.3.3 Moyen interactif ....................................................................................... 37
5.3.4 Tester les connaissances ........................................................................ 37
5.4 Les canaux de communication ................................................................... 38
5.5 Solution informatique................................................................................... 39
5.6 Conclusion .................................................................................................... 39
6. Dans la ralit .......................................................................................... 40
6.1 Interviews - secteur priv............................................................................. 40
6.1.1 Banque .................................................................................................... 40
6.1.2 Multinationale .......................................................................................... 42
6.1.3 PME ......................................................................................................... 45
6.1.4 Impacts de la sensibilisation dans le secteur priv.................................. 47
6.2 Interviews - Hautes Ecoles Spcialises .................................................... 48
6.2.1 Haute Ecole de Sant.............................................................................. 48
6.2.2 Haute Ecole de Gestion........................................................................... 51
6.2.3 Impacts de la sensibilisation en HES ...................................................... 53
6.2.4 Conclusion ............................................................................................... 54
7. Mise en place dans un cas concret ........................................................ 55
7.1 Planification de la sensibilisation ............................................................... 56
7.1.1 Acteurs impliqus .................................................................................... 56
7.1.2 Organisation ............................................................................................ 57
7.1.3 Evaluation du budget obtenir ................................................................ 57
7.2 Conception du programme de sensibilisation........................................... 58
7.2.1 Groupes dutilisateurs cibles.................................................................... 58
7.2.2 Messages cibls ...................................................................................... 60
7.2.3 Contenu adapt de la sensibilisation ....................................................... 60
7.2.4 Moyens de communication adapts ........................................................ 62
7.3 Diffusion du programme de sensibilisation ............................................... 64
7.4 Evaluation du programme de sensibilisation ............................................ 64
7.4.1 Besoin de sensibilisation ......................................................................... 65
7.5 Maintenance sur le long terme .................................................................... 66
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie v
7.5.1 Frquence du programme et des rvisions ............................................. 66
7.5.2 Contenu de la communication de sensibilisation..................................... 66
7.5.3 Nouveaux collaborateurs ......................................................................... 66
7.6 Conclusion .................................................................................................... 67
8. Synthse................................................................................................... 68
Bibliographie .................................................................................................. 69
Annexe 1 : Canaux de communication proposs ....................................... 73
Annexe 2 : Mail de rponse ........................................................................... 78
Annexe 3 : Interviews des entreprises prives............................................ 79
Annexe 4 : Interviews la Haute Ecole de Sant ........................................ 85
Annexe 5 : Interviews la Haute Ecole de Gestion................................... 104
Annexe 6 : Plan Phase 1 - Planification................................................... 116
Annexe 7 : Plan Phase 2 Conception ................................................... 117
Annexe 8 : Plan Phase 3 Diffusion Etape 1 ....................................... 118
Annexe 9 : Plan Phase 3 Diffusion Etape 2 ....................................... 119
Annexe 10 : Plan Phase 4 Evaluation Etape 1 .................................. 120
Annexe 11 : Plan Phase 4 Evaluation Etape 2 .................................. 121
Annexe 12 : Plan Phase 5 Maintenance ............................................... 122
Annexe 13 : Canaux de communication non adapts .............................. 123
Annexe 14 : Affiches de sensibilisation ..................................................... 124
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie vi
Liste des tableaux
Tableau 1 : Principes de scurit fondamentaux de linformation................................... 6
Tableau 2 : Vecteurs de risques engendrs par lemploy ........................................... 12
Tableau 3 : Dimensions de la sensibilisation ................................................................ 18
Tableau 4 : Acteurs impliqus et leurs responsabilits ................................................. 56
Tableau 5 : Groupes dutilisateurs cibls et les objectifs de sensibilisation .................. 59
Tableau 6 : Messages faire passer auprs des groupes cibles ................................. 60
Tableau 7 : Contenu de la sensibilisation adapt aux groupes cibles .......................... 61
Tableau 8 : Canaux de sensibilisation adapts aux utilisateurs.................................... 63
Tableau 9 : Moyens dvaluation de la campagne de sensibilisation ........................... 65
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie vii
1. Introduction
Lide de ce travail de Bachelor nous est venue dans le cadre de notre travail au sein
du service informatique de la Haute Ecole de Sant de Genve. En effet, nous
sommes souvent confronts des utilisateurs qui ne prtent pas forcment attention
la scurit de leur ordinateur ou de leurs documents.
Cette problmatique, nous lavons rencontre durant nos tudes. En classe, les
professeurs ont souvent mis le doigt dessus, en nous expliquant combien un systme
dinformation est important au sein dune entreprise, car il permet celle-ci dassurer
ses activits stratgiques et oprationnelles.
1.1 Problmatique
Alors pourquoi ne le sont-ils pas ? Est-ce que le service informatique donne des
consignes pour scuriser un ordinateur ? Est-ce que les ressources humaines
expliquent comment scuriser les informations ? Est-ce que tout simplement, ils ne font
pas attention parce que les consignes sont trop contraignantes ? Ce sont des
questions auxquelles nous souhaitons rpondre en effectuant ce travail, tant par
curiosit personnelle et mise en relation avec ce qui est tudi en cours, que dans le
but de proposer une solution pour rduire lcart de comprhension entre la direction,
le service informatique et les utilisateurs du systme dinformation.
Ensuite, nous nous focaliserons notre travail sur le niveau humain de la scurit. Nous
dfinirons le facteur de risque humain, dans le but de dterminer ses spcificits, quel
1
TONINATO, Aurlie. La Haute Ecole de gestion victime dune grosse fraude : 270 lves doivent
repasser lexamen ! In : Tribune de Genve [en ligne]. Dernire modification le 21.02.2012.
http://www.tdg.ch/geneve/actu-genevoise/haute-ecole-gestion-victime-grosse-fraude-270-eleves-
doivent-repasser-lexamen/story/28574846
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 1
est son importance au sein dune entreprise et comprendre pourquoi il existe des
mesures humaines de scurit.
Puis, nous expliquerons quelles sont les mthodes recommandes par les organismes
mondialement reconnus pour mener bien une campagne de sensibilisation au sein
dune entreprise.
Enfin, nous sommes alls sur le terrain interviewer des collaborateurs dans
diffrentes entreprises prives, ainsi que dans deux Hautes Ecoles Spcialises pour
recueillir leur point de vue et comprendre comment la sensibilisation est mise en place.
Pour finir, nous proposerons, avec les moyens prconiss par les organismes
reconnus, une approche pour amliorer la sensibilisation au sein des deux Hautes
Ecole Spcialises de Genve.
Nous avons tent dans la mesure du possible de rechercher des sources actualises,
dans un souci de ralisme et defficacit.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 2
2. Rle et enjeux du systme dinformation
2.1 Linformation
Tout dabord, il faut comprendre quune entreprise sans aucune forme dinformation
nest pas une entreprise. En effet, sest une composante intrinsque toute entit,
cest un flux de donnes vitales pour la bonne marche dune entreprise. Nous
pourrions comparer limportance de linformation au systme cardio-vasculaire dun
tre vivant.
Par consquent, pour que linformation puisse tre utilise travers et lextrieur de
lentreprise et transmettre son savoir aux diffrents organes de lentit, un systme a
t mis en place, cest le systme dinformation.
2
Bien que donnes et informations reprsentent des concepts diffrents, nous avons dcid de les
grouper sous le terme gnral dinformation.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 3
quotidien. Cest devenu un outil majeur et usuel qui fait partie intgrante dune
entreprise.
les accidents ;
les erreurs ;
la malveillance.
Les accidents sont dorigine naturelle ou matrielle, comme une inondation ou un
dysfonctionnement technique (Boulet, 2007). Ceux-ci dtriorent ou provoquent
gnralement lindisponibilit partielle ou totale du systme.
Les erreurs, elles, sont dorigine humaine, comme les erreurs dinattention, de
ngligence, ou encore dincomptence (Boulet, 2007). Celles-ci nengendrent pas
forcment lindisponibilit immdiate, mais peuvent compromettre une partie ou la
totalit du systme ou encore le rendre inaccessible durant un certain temps.
Le dernier type de menace est la malveillance. Elle aussi est dorigine humaine, mais
celle-ci englobe les attaques logiciels, le vol dinformation, ou encore le vandalisme sur
le matriel de lentreprise (Boulet, 2007). Ces attaques sont intentionnelles, et sont
perptres dans le but de nuire lentit vise.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 4
2.2.2 Consquences
Ces diffrentes menaces peuvent engendrer des consquences graves pour une
entreprise. Si elles venaient se concrtiser, elles porteraient atteinte :
Pour pallier aux diffrents types de menaces tablis auparavant, qui psent sur son
systme dinformation, une entreprise doit mettre en place un ensemble de moyens
techniques, organisationnels, juridiques et humains, pour protger ses ressources et
garantir ses activits. Ainsi, elle prvient les diffrents risques dincidents au niveau
physique, au niveau logiciel, niveau juridique, ainsi quau niveau humain (Cal,
Touitou, 2007). Avec ces mesures, elle protge son SI et vite de lourdes pertes
financires et dimportantes consquences juridiques qui pourraient tre nfastes
son activit.
3
Par partenaires commerciaux nous dsignons, tout au long de ce travail, les clients, les sous-
traitants et les fournisseurs.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 5
et partenaires commerciaux, de la vracit de celles-ci. Ces principes sont les
suivants :
Principes Explications
Disponibilit Qui permet de garantir laccs un service ou des ressources.
Intgrit Qui garantit que les donnes sont bien celles que lon croit tre,
quelles nont pas t altres [...].
Confidentialit Qui consiste rendre linformation inintelligible dautres
personnes que les seuls acteurs de la transaction.
Authentification Qui consiste assurer lidentit dun utilisateur, c'est--dire
garantir chacun des correspondants que son partenaire est bien
celui quil croit tre.
Non-rpudiation Qui est la garantie quaucun des correspondants ne pourra nier la
transaction.
En plus de rester niveau du point de vue technologique, ainsi que davoir de bonnes
connaissances des mtiers de son entreprise, le responsable doit connatre la
lgislation concernant le traitement des donnes informatiques et la protection de la
personnalit de ses collaborateurs (CLUSIF, 2013). Ces connaissances doivent lui
servir lors de la cration de la politique de scurit du systme dinformation de
lentreprise.
4
DOUCENDE, Bruno. Scurit des Systmes dInformation [en ligne]. Livre Blanc. Marseille :
Groupe 4, 4IM SAS, 2008. Page 29.
http://www.globalsecuritymag.fr/IMG/pdf/Livre_Blanc_SSI_v1.pdf
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 6
2.3.3 Types de mesures de scurit
Le systme dinformation reprsente un patrimoine essentiel de lentreprise,
quil convient de protger. (Pillou, Bay, 2005, p.205)
Les mesures de scurit dont nous avons parl rapidement la page prcdente, sont
mises en place dans le but de prvenir et dempcher du mieux possible, dans un
premier temps, les menaces qui psent sur le SI dune entreprise. Mais aussi dans un
deuxime temps, sauvegarder et rcuprer les donnes corrompues ou perdues selon
lincident et permettre la continuit de lactivit mme en cas dindisponibilit du
systme.
Ce sont des mesures tant au niveau matriel quau niveau logiciel qui sont
intgres au systme informatique de lentreprise pour protger le SI. Elles
permettent de filtrer les diffrentes menaces logicielles, dviter des vols
dinformation, ou dempcher une intrusion. Ces mesures se traduisent par la
mise en place entre autres dantivirus, de pare-feu, de dtection dintrusion, de
cryptage, ou encore de cl daccs lectronique. (Cal, Touitou, 2007)
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 7
Les mesures humaines
Ce sont des mesures qui visent informer, former et sensibiliser les employs
de lentreprise, tant de manire prventive que de manire rtroactive. Elles
permettent aux utilisateurs du SI et par extension du systme informatique, de
prendre conscience des diffrents types de risques quils font encourir au SI de
leur entreprise par un mauvais usage de la technologie (Cal, Touitou, 2007).
Ces mesures doivent en principe tre transmises lors de lengagement de
lemploy, ainsi que lors de programmes de sensibilisation la SSI de
lentreprise ddis aux collaborateurs. (Norme ISO 27002:2005)5
Cest par ce type de programme quune entreprise peut rduire le facteur de risque
humain qui pse sur son SI. Comme lexplique un professionnel dans le domaine de la
scurit des systmes dinformation :
5
Voir le chapitre Mthodologie, concernant la norme 27002:2005 p.25
6
GRATIOLET, Franois. Sensibilisation la cyber-scurit : se prmunir des vulnrabilits dorigine
humaine. In : Le Cercle Les Echos [en ligne]. 2013.
http://lecercle.lesechos.fr/entrepreneur/tendances-innovation/221177184/sensibilisation-a-cyber-
securite-premunir-vulnerabilites
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 8
3. Le facteur risque humain
Mais avant den venir aux solutions pour rendre un employ acteur de la scurit au
sein de son entreprise, intressons-nous au pourquoi. Pourquoi lemploy est-il un
facteur de risque au sein dune entreprise ? Quest-ce quun employ peut bien faire
pour rendre vulnrable le SI dune entreprise et attent la scurit de linformation ?
Ce sont des questions auxquelles nous allons tenter de rpondre dans ce chapitre.
3.1 Dfinition
Tout dabord, que signifie un facteur de risque humain : [] source de risque [...]
dont le dclenchement est d l'action de l'homme. (Wikipdia, 2013)
Ce facteur de risque peut tre soit involontaire de la part dun tre humain, comme une
erreur due au stress, la fatigue ou encore d lintervention dun tiers. Soit
volontaire, c'est--dire que lacte est fait de manire consciente ou dlibre.
(Wikipdia 2013)
Nous pouvons donc dterminer, selon ces deux dfinitions, que le facteur de risque au
niveau humain, veut dire de manire simple : une source de risque potentielle
dclenche par laction de lhomme de manire volontaire ou involontaire.
Nous expliciterons par des exemples ces origines au dernier point de ce chapitre.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 9
3.2 Limportance de ce risque
En 2012, le directeur technique de Check Point Software Technologies7, tablit que le
facteur humain est lune des trois sources principales de vulnrabilits dans une
entreprise. Le directeur explique quun employ peut commettre des erreurs ou faire
preuve de ngligence, ou encore dlibrment organiser une fuite dinformations.
Ce qui reprend les notions que nous venons dtablir, c'est--dire quun employ est un
facteur de risque qui par ses actes involontaires ou volontaires peut rendre vulnrable
la scurit des informations dune entreprise. Dailleurs, le CLUSIR explique dans lune
de ces prsentations : Le maillon faible de la scurit informatique est souvent le
facteur humain 8. Et nous met en garde :
7
Lentreprise Check Point Software Technologies est leader mondial de la scurit informatique.
Scurit informatique Prvention des menaces en entreprise. Info Expoprotection. 2012.
8
GOMAS, Olivier, RAISIN, Yves, ROZIER, Richard. Le facteur humain. In : CLUSIR Rhne-Alpes
[en ligne]. Page 3. http://www.clusir-rha.fr/sites/default/files/upload/Lyon/SS
I/CLUSIR_FACTEUR%20HUMAIN_161903.pdf
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 10
En 2013, lemploy est toujours une des principales sources dincidents pour
lentreprise, selon une tude effectue par Deloitte. Ce sont les erreurs et les
omissions des employs qui hauteur de 73%, reprsentent une des trois principales
menaces pour lentit.
Par exemple, un employ peut faire des erreurs dinattention en discutant avec une
personne extrieure ou en envoyant des informations sensibles par erreur un client
ou un fournisseur, surtout si celui-ci est soumis un stress quelconque un moment
donn. Il peut faire des erreurs dans la manipulation dun logiciel, ou dun quipement,
parce quil na pas les connaissances ou la formation ncessaires pour les utiliser. Ou
encore faire preuve de ngligence en laissant trainer des informations sensibles sur un
copieur, ou en divulguant des informations confidentielles autour de lui sans penser
aux consquences que cela peut avoir. Enfin, un employ qui a un quelconque grief
contre son employeur ou un collgue peut commettre un vol, ou vandaliser des
quipements stratgiques dans le but de nuire lun des deux. Ces exemples repris
par beaucoup de professionnels dans le domaine de la SSI, dont le directeur technique
Europe de Check Point Software Technologies, dmontrent bien que lhumain est
complexe et des mesures de scurit ne peuvent tre restreintes des mesures
techniques.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 11
3.3 Les vecteurs de menaces
Tentons donc de comprendre pourquoi un employ fait toujours partie en 2013 dune
des trois plus importantes menaces pour le SI dune entreprise.
Deloitte, dans son tude, avance une rponse. Lentreprise explique que les
utilisateurs sont les premiers manipuler quotidiennement les informations de
lentreprise. De plus, avec lvolution de la technologie, et lutilisation qui en est faite
par les employs, cela ne fait quaugmenter les chances dintroduction de nouveaux
risques pour la scurit de l'information. (Deloitte, 2013, p.10)
Alors pour prciser ce que Deloitte entend par l, nous allons passer en revue les
diffrents vecteurs par lequel un employ peut provoquer un incident durant son travail,
sans sen rendre compte.
Monsieur Henrique Marques, avait dj tabli en 2006 pour son travail de Bachelor, un
premier tableau qui liste et explique les principaux outils quutilise un employ dans
son environnement professionnel et qui peuvent tre vecteurs de risques pour une
entreprise. Nanmoins, nous nous sommes permis de complter le tableau par des
outils ou des consquences qui se sont ajouts au gr de lvolution technologique et
sociale, la liste des outils professionnels utiliss au sein dune entreprise, comme
voqus par les responsables de la scurit.
Vecteurs Consquences
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 12
Connecter un ordinateur personnel sur le rseau informatique de
lentreprise, peut aussi introduire ce genre de menaces. Soit si
Ordinateur
lordinateur lui-mme est infect par un type de virus, soit si celui-ci
personnel
est sous contrle dun individu malveillant qui peut gnrer une
attaque de lextrieur9.
Brancher un mdia tel que Smartphone, tablette, lecteur de
Supports musique, cl USB, disque externe, peut aussi transmettre des
personnels infections au SI de lentreprise, car il se peut quun de ces outils ait
t infect auparavant.
Donner des informations concernant lentreprise une personne
Ingnierie sociale extrieure celle-ci, peut compromettre la SSI et permettre une
attaque contre lentit.
Envoyer limpression un document et ne pas rester ct de
celui-ci jusqu rcuprer le document en main propre, peut porter
Copieur
atteinte la confidentialit des informations et engendrer
dimportante consquences.
Ne pas dtruire de documents confidentiels avant de les jeter la
Poubelle poubelle, peut nuire lentreprise, et engendrer comme ci-dessus
dimportantes consquences.
Casier ouvert Mettre des documents importants, ou confidentiels dans un casier
pour la ouvert, peut nuire la confidentialit des informations, ainsi quau
correspondance SSI.
Travailler lextrieur de lentreprise peut poser des problmes de
confidentialit ou de disponibilit des informations. Des documents
Hors du lieu de
peuvent traner, un individu peut regarder par-dessus lpaule de
travail
lemploy ou celui-ci peut oublier des documents importants sur
place.
Faire une erreur, avoir un mot de passe peu complexe, perdre ou
oublier une carte/cl daccs ou un support de stockage contenant
des informations sensibles, peut provoquer de graves
consquences.
Employ
De plus, un employ contrari envers son entourage professionnel,
peut attaquer, voler, partager, dtruire ou altrer des informations
ou du matriel appartenant son employeur dans le but de se
venger ou satisfaire son besoin de reconnaissance.
Aprs avoir list les diffrentes voies par lesquelles un employ peut provoquer un
incident, ainsi que les consquences que cela peut engendrer sur le SI de lentreprise,
nous pouvons donc en conclure quun employ est effectivement une menace leve
pour lentreprise. Dautant plus quune mauvaise manipulation est imprvisible pour
une entreprise, surtout si un employ nest pas inform de limpact de ses
9
Pour illustrer, voici un exemple dintrusion via un ordinateur portable personnel :
Deloitte. Situation de cyber attaque susceptible de menacer votre entreprise [en ligne].
http://www.deloitte-france.fr/video/CPL/video.htm, dure : 4 min
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 13
manipulations sur le SI. Du reste, Deloitte explique dans son tude, que llment
humain est lune des plus grandes sources de risque, aussi bien que la plus difficile
contrler. (Deloitte, 2013, p.10)
Bien videmment, cela ne veut pas dire qu chaque fois quun collaborateur fera
preuve dinattention dans lutilisation de ces outils, cela engendra un incident. Mais le
risque existe par ces vecteurs et se rpercute sur la confidentialit, la disponibilit,
lintgrit de linformation, la rputation de lentreprise, la scurit du personnel, ainsi
que sur lensemble du SI, qui se voient compromis avec ce genre dutilisation. Cest
pourquoi des mesures de scurit au niveau des ressources humaines existent pour
scuriser le SI de lentreprise.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 14
4. La sensibilisation
Dans ce chapitre nous allons expliquer en dtail ce que signifient ces mesures de
scurit humaines voques prcdemment, ainsi que les avantages amens par la
sensibilisation aux employs.
4.1 Dfinition
Si nous prenons le Wikitionnaire, celui-ci a plusieurs dfinitions proposer pour dfinir
la sensibilisation, mais deux dentre elles ont retenu notre attention.
La premire est la suivante : Cest laction de rendre attentif quelque chose pour
lequel on ne manifestait pas dintrt auparavant. (Wikitionnaire, 2013)
Avec ces deux diffrentes dfinitions, nous pensons pouvoir donner une dfinition
gnrale et complte de ce quest la sensibilisation.
10
LENISA est lAgence Europenne charge de la scurit des rseaux et de l'information.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 15
4.2 Dimensions
Pour mener bien ce processus quest la sensibilisation, lENISA distingue deux
aspects :
la sensibilisation ;
la formation.
Cest--dire quelle propose une stratgie sur deux dimensions pour rendre attentif les
utilisateurs la scurit des informations, pour que la sensibilisation porte ses fruits
dans la stratgie de la SSI de lentreprise. Elle lexplique dailleurs en ces termes :
Nous avons constat quelle nest pas la seule proposer ces deux aspects pour
mener bien un programme de sensibilisation. Effectivement, Microsoft fait aussi cette
distinction. Il explique la diffrence entre sensibiliser et former comme cela :
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 16
Nous constatons, en outre, que lENISA11 et Microsoft12 proposent de mettre en place
un moyen dvaluer ce processus de sensibilisation. Le but est dapprcier limpact que
cette campagne de sensibilisation a sur les employs de lentreprise, ainsi que de
dterminer le processus de continuit et de mises jour ncessaires pour le bon
droulement du programme.
linformation ;
la communication ;
la formation ;
lvaluation.
11
ENISA. Le nouveau guide utilisateur : comment amliorer la sensibilisation la scurit de
linformation. 2008, 110p. http://www.enisa.europa.eu/publications/archive/new-users-guide-fr
12
Microsoft. Facteurs cls pour le dveloppement de programmes efficaces de sensibilisation et de
formation la scurit des informations. In : Sensibilisation la scurit [en ligne]. 2006.
http://technet.microsoft.com/fr-fr/security/cc165442.aspx
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 17
Selon eux, les rsultats gnrs par lvaluation donneront les cls pour amliorer ou
redfinir la politique de sensibilisation, daprs les nouvelles menaces apparaissant
avec lvolution de la technologie et de lentreprise.
Dimensions Explications
Information Tout dabord, il sagit dinformer lutilisateur des dangers existants
dans le cadre de son travail.
Communication Ensuite, il sagit de le sensibiliser face aux risques que ces menaces
peuvent engendrer pour lentreprise ou sur son travail et de lui
expliquer ce quil doit faire pour les viter.
Formation Enfin, il sagit de lui enseigner par des moyens qui limpliquent
consciemment dans le processus de sensibilisation global.
Evaluation Finalement, il sagit de mettre en place un systme dvaluation
continu qui permet de mesurer limpact que cette campagne a eu
sur les employs et la scurit du systme dinformation, pour
ultrieurement lamliorer.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 18
Pour appuyer ce fait, Ernst and Young explique que dans 37% des entreprises
sondes, les responsables de la scurit estiment que la menace qui a le plus
augment pour lentreprise, est linconscience et la ngligence des employs. La perte
dinformations confidentielles cause par linconscience de certains employs a
augment de 25% en 2012, selon le rapport publi par la banque.
Rappelons quau chapitre prcdent13, selon Deloitte, la manire dont les employs
utilisent les nouvelles technologies, introduit de nouveaux risques au sein de
lentreprise.
Pour appuyer ce faite les responsables en charge de la scurit interrogs par Ernst
and Youg, explique que selon eux cest d la prolifration des appareils mobiles
personnels et des rseaux sociaux, utiliss tant comme outils professionnels que
comme moyen de rcration.
Pour eux, la frontire entre la vie professionnelle et la vie personnelle sest floute avec
lvolution des technologies de linformation. Par consquent, nous pourrions en
dduire alors, quil y aurait donc une nouvelle menace en plus de linconscience des
collaborateurs, depuis quelques temps.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 19
technologies, et sont de plus en plus nombreux dans les entreprises. Daprs les
auteurs, ils rvolutionnent la manire de travailler avec le systme dinformation.
En effet, ceux-ci amnent donc un lment pour tayer la vision des responsables
charg de la scurit, en expliquant que cette gnration raisonne diffremment des
gnrations prcdentes parce quelle a volu avec les nouvelles technologies de
linformation. Daprs les auteurs, ils surestiment leurs connaissances en matire de
scurit des systmes dinformation, car ces utilisateurs pensent mieux maitriser les
outils technologiques que leurs collgues de lancienne gnration. [Ils ont]
limpression de maitriser les SI et ne se donnent pas la peine de lire les
recommandations de scurit. Ils nestiment, donc, pas avoir besoin de respecter la
politique de scurit mise en place par lentreprise, bien quils en soient informs
surtout sils ne la comprennent pas. Les auteurs expliquent que ces utilisateurs
souhaitent comprendre pourquoi ils doivent appliquer ces rgles, sinon ils sont les
premiers la contourner. [Ils] sont bien connus pour sinterroger sans cesse sur la
raison dtre des choses . Enfin, ces utilisateurs ont toute une panoplie de mdias
connects quils utilisent dans leur vie professionnelle et personnelle, ce qui peut nous
laisser penser quils ont une autre approche des technologies que leurs collgues et
traitent donc linformation autrement, cela cre donc une nouvelle faille dans le
systme de scurit de lentreprise.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 20
4.4 Intgrer la sensibilisation dans le processus de scurit
Il apparait donc, aprs ces observations, indispensable dintgrer la sensibilisation
dans la scurit des systmes dinformation. Nous avons donc effectu quelques
recherches afin dapprcier ce quen disent les professionnels dans ce domaine. Nous
avons constat, effectivement, quun grand nombre dorganismes expliquent quil ne
faut pas oublier la sensibilisation et la formation des utilisateurs dans le processus de
scurit des systmes dinformation.
Trois organismes franais, parmi dautres, prennent en compte ce point dans les
documents quils ont tablit, dans le but quils servent de guide pour les entreprises.
15
DUVAUCHELLE, Antoine pour lAgence nationale de la scurit des systmes dinformation. Guide
dhygine informatique [en ligne]. 1re d. Paris : ANSSI, 2013. Page 43.
http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf
16
COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTES. Guide La scurit des
donnes personnelles [en ligne]. Edition 2010. Inconnu : CNIL, 2010. Page 11.
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_securite-VD.pdf
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 21
Le Centre national de la recherche scientifique (CNRS) a tablit un document
Politique de Scurit des Systmes dInformation (PSSI) o il explique au chapitre
Principes de mise en uvre de la PSSI , La formation, la sensibilisation et
linformation des diffrents acteurs [] de lentit sont cruciales pour la scurit. .17
De plus, sur internet un grand nombre dentreprises expliquent aussi quil est important
de sensibiliser ces employs afin dviter un incident. Parmi celles-ci nous citerons
Cyberworld Awarness & Security Enhancement Services (Cases), une entreprise
luxembourgeoise, explique lattention des petites et moyennes entreprises sur son
site internet quil est important de prendre des mesures de sensibilisation et appuie sur
le fait que les mesures techniques ne sont pas les seules en matire de scurit. En
outre, elle explique de manire plus exhaustive ce quest la sensibilisation et proposent
des exemples daffiches pour informs ses employs.
17
ILLAND, Joseph pour le Centre national de la recherche scientifique. Politique de Scurit des
Systmes dInformation [en ligne]. 1re d. Inconnu : CNRS, 2006. Page 18.
http://www.dgdr.cnrs.fr/fsd/securite-systemes/documentations_pdf/securite_systemes/pssi-v1.pdf
18
CYBERWORLD AWARENESS & SECURITY SURVEY ENHANCEMENT SERVICES. Se protger
[en ligne]. https://www.cases.lu/fr/la-sensibilisation-et-la-formation.html
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 22
4.5 Statistiques actuelles en entreprise
Faisons maintenant un tour dhorizon concernant ltat de la sensibilisation dans les
entreprises au niveau mondial, selon diffrents rapports de statistiques tablis entre
2011 et 2013.
60%
2008 2009
50%
54% 53% 2010
49%
40% 2007 2011
2006 42% 43%
39%
30%
20%
10%
0%
Plandesensibilisation
(PricewaterhouseCoopers, 2011 p.30 -2012, p.24)
Ernst and Young, apporte une autre proposition concernant cette baisse de budget.
Selon son rapport, les entreprises ne jugent plus que ce soit lune de leurs priorits
absolues. En fait, elles estiment faire ce quil faut dans ce domaine, et cest pour cela
quelles se concentrent sur dautres priorits en termes de mesures de scurit.* Dans
son rapport, la mesure de sensibilisation des employs est place au dix-septime
rang des priorits en termes de scurit pour les entreprises en 2012, avec seulement
9% dentre elles qui en font une de leur priorit (Ernst and Young, 2012, p.9). Alors que
nous avons constat auparavant que tous les chiffres dmontrent quil serait judicieux
daugmenter les programmes de sensibilisation dans les entreprises.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 23
4.5.2 Personnel ddi
Un programme de sensibilisation ne peut tre efficace, quavec une formation
adquate des collaborateurs la SSI. Dans le rapport dErnst and Young, 43% des
entreprises expliquent que lobstacle le plus important pour former les utilisateurs, en
2012, est le manque de professionnels qualifis dans le domaine de la SSI.
4.5.3 Budget
Une meilleure nouvelle pour 2013, 56% des entreprises maintiendront leur budget de
lanne prcdente concernant les mesures de sensibilisation, 38% augmenteront leur
budget et seulement 6% reverront leur budget la baisse. Ces chiffres nous laisser
penser une reprise conomique pour une partie dentre elles et donc une plus
grande capacit budgtaire pour augmenter les mesures de sensibilisation.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 24
4.6 Conclusion
En conclusion, comme nous lavons vu, les utilisateurs eux-mmes reprsentent une
grande partie du problme, mais aussi de la solution lorsquil s'agit de scuriser
linformation utilise au sein dune entreprise. Ainsi, lapproche que nous avons dcrite,
permet dinformer lutilisateur, de lui permettre dapprhender les risques, et finalement
den faire un utilisateur avertis.
19
HAPSIS. La protection de vos informations dans un environnement complexe [en ligne].
http://www.se-force.com/index.php?option=com_content&view=article&id=116&Itemid=152
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 25
5. Processus de sensibilisation
Maintenant que nous avons tabli limportance du facteur humain sur la SSI et les
mesures de scurit au niveau des ressources humaines qui peuvent tre prises, nous
allons regarder ce que des organismes, rputs dans le domaine des systmes
dinformation, proposent comme processus pour rduire le risque humain sur le SI
dune entreprise. Nous regarderons ce qui est prconis en matire de norme
internationale concernant la sensibilisation des employs, puis nous analyserons ce
que proposent des entreprises pour dvelopper un programme de sensibilisation.
5.1 Norme
Dirigeons nous vers lOrganisation Internationale de Normalisation (ISO), premier
producteur de normes au monde et sur laquelle beaucoup dentreprises se basent pour
harmoniser et amliorer, leurs activits. Ce sont des experts mondiaux qui tablissent
des normes dans diffrents domaines et les font ensuite ratifier par lISO. Ceux-ci
dfinissent des exigences, des lignes directrices ou des caractristiques appliquer
rgulirement pour assurer lutilisation correcte des matriaux ou produits, ainsi que de
loptimisation des processus et services communs tout organisme. (ISO, 2013)
Cest pour cette raison que nous allons regarder ce que lISO propose en termes de
SSI au niveau des mesures de scurit humaines.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 26
Politique de scurit des systmes dinformation
En premier lieu, nous pouvons constater quelle propose dtablir un document qui est
la Politique de scurit des systmes dinformation 20 qui aide la diffusion de la
vision de lentreprise en termes de scurit, auprs de tous ses employs. En outre,
tablir une politique de scurit des systmes dinformation est important pour
permettre de passer en revue les risques quencourt le SI de lentreprise, dans lobjectif
dinstaller diffrentes mesures techniques, organisationnelles, juridiques et humaines
pour pallier ceux-ci et viter une catastrophe dont elle ne pourrait jamais se remettre.
Le CNRS explique :
En dautres termes, ce document a pour but de servir de guide les employs, mais
aussi pour les responsables dans la mise en place dun systme de scurit technique,
organisationnel, juridique et humain au sein de lentreprise.
20
Norme ISO 27002:2005 - Chapitre 5, p.6
21
ILLAND, Joseph pour le Centre national de la recherche scientifique. Politique de Scurit des
Systmes dInformation [en ligne]. 1re d. Inconnu : CNRS, 2006. Page 17
http://www.dgdr.cnrs.fr/fsd/securite-systemes/documentations_pdf/securite_systemes/pssi-v1.pdf
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 27
Scurit lie aux ressources humaines22
En deuxime lieu, cette norme propose un processus gnral de sensibilisation
concernant un employ son arrive dans lentreprise, durant son mandat et son
dpart. Elle trace les lignes directrices pour la mise en place et la vrification dune
communication de sensibilisation dans une entreprise, auprs des employs en
matire de scurit de linformation. (Cal, Touitou, 2007)
22
Norme ISO 27002:2005 - Chapitre 8, p.22
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 28
et quil sache qui contacter en cas de suspicion. Nous verrons plus loin, que diffrents
organismes proposent des mthodes de sensibilisation adquates pour les
collaborateurs.
Lentreprise peut aussi mettre en place un systme de sanctions pour traiter les cas de
violation du rglement.
Nous pourrions rsumer ces grandes lignes de sensibilisation, par le schma ci-
dessous :
Engagement
Duredumandat
Dpart
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 29
5.2 Mthodes
Nous avons donc compris que la norme ISO 27002:2005, propose dtablir une
politique de scurit afin de diffuser la vision de lentreprise en matire de scurit
auprs de ses employs, ainsi quun processus de sensibilisation auprs deux depuis
leur engagement la fin de leur contrat en passant par une formation concrte durant
leur mandat. Cependant, bien quelle donne des explications pertinentes et prcises
sur ce qui est attendu en entreprise au niveau de la sensibilisation, elle ne propose pas
de processus exact quant la communication et la formation dun employ. Alors,
nous avons effectu dautres recherches, afin de dterminer comment nous pourrions
mettre en uvre un processus concret de sensibilisation au sein dune entreprise.
Toutefois, nous avons trouv deux grandes entreprises telles que Microsoft23 ou
lENISA24 qui proposent des mthodes organisationnelles et des supports de
communication libres daccs toutes les entreprises, souhaitant mettre en place par
leurs propres moyens une campagne pour sensibiliser leurs utilisateurs.
23
Microsoft. Facteurs cls pour le dveloppement de programmes efficaces de sensibilisation et de
formation la scurit des informations. In : Sensibilisation la scurit [en ligne]. 2006.
http://technet.microsoft.com/fr-fr/security/cc165442.aspx
24
ENISA. Le nouveau guide utilisateur : comment amliorer la sensibilisation la scurit de
linformation. 2008, 110p. http://www.enisa.europa.eu/publications/archive/new-users-guide-fr
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 30
Figure 14 : Cycle de vie dun programme de sensibilisation, selon lENISA
Si nous nous basons sur ce que ces grands organismes proposent, nous pourrions
faire ressortir cinq processus cls pour mener bien une campagne de sensibilisation.
Ces cinq processus sont les suivants :
planifier ;
concevoir ;
diffuser ;
valuer ;
maintenir.
Evidemment, chaque organisme propose des particularits qui leur sont propres.
Nanmoins, nous pouvons en faire ressortir un fil rouge qui peut nous aider mettre
en place un programme de sensibilisation.
Planification
Maintenance Conception
Evaluation Diffusion
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 31
5.2.1 Planification
Tout dabord pour cette tape, les deux organismes sont daccord pour dire quil est
important quune planification de projet soit faite pour mener bien un programme de
sensibilisation. Ensuite, deux points leurs sont communs quant aux objectifs de la
planification :
25
ENISA, 2008, p.29
26
ENISA, 2008, p.22
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 32
5.2.2 Conception
Il sagit de mettre sur pied un programme de sensibilisation. En ce qui concerne
lENISA, certaines des recommandations ci-dessous sont prsentes dans son
processus de planification. Cependant, elle-mme dfini dans celui-ci deux autres
points qui sont valuer et concevoir 27. Il nous est apparu plus judicieux de faire
apparaitre les points quelle traitre cette tape-ci, car valuer et concevoir sont des
points de dveloppement spcifique pour le programme.
Il y a donc cinq points communs cette tape pour ces deux organismes :
27
ENISA, 2008, p.16
28
ENISA, 2008, p.22
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 33
et efficaces, alors que Microsoft explique quil faut prendre en compte des
mcanismes de diffusion spcifiques afin que la communication soit efficace.
5.2.3 Diffusion
A cette tape, les deux organismes saccordent pour dire que Lorsquun plan bien
crit est mis en place et que vous disposez aussi des ressources appropries pour
lexcuter, le moment est venu de demander aux diffrents acteurs choisis au
pralable pour crer le programme et lexcuter en vue de concrtiser les avantages
de la sensibilisation la scurit de linformation. (ENISA, 2008, p.67)
De plus, tous deux prcisent quil ne faut pas oublier de rcolter les impressions et les
suggestions des collaborateurs participants, afin de pouvoir intgrer leurs remarques
au processus de mise jour du programme.
5.2.4 Evaluation
Lvaluation doit tre faite aprs chaque session de sensibilisation et de formation des
employs. LENISA prcise que cette tape est un point ne pas omettre, car il sagit
dvaluer les informations gnres par le programme, de dterminer si les objectifs
principaux ont t atteints et dajuster les processus de travail avec les diffrentes
informations reues. De plus, Microsoft prcise que lvaluation permet de rendre
compte, si les collaborateurs ont bien compris les messages diffuss, et quils ont bien
t impliqus dans le processus de formation. Cette tape a donc pour objectif de
recevoir des indications sur lefficacit de la campagne diffuse au pralable.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 34
5.2.5 Maintenance
A cette tape, il est bien expliqu par Microsoft, que le programme ne sarrte pas
aprs sa premire excution.
Les programmes ne prennent pas fin une fois le premier cycle de sessions
achev avec succs. Ces programmes reprsentent un investissement constant
dans lequel votre organisation doit sengager. (Microsoft, 2006, p.23)
LENISA propose dintgrer les enseignements tirs de lvaluation afin de lintgrer au
processus de mise jour.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 35
5.3 Comment adapter la communication
Aprs avoir dtermin les moments o il faut sensibiliser les utilisateurs via la norme
27002, et par quelles tapes un plan de sensibilisation se construit comme tablit au
point prcdent, il faut maintenant sintresser laspect communicationnel. Nous
avons vu au chapitre prcdent que des professionnels en scurit des systmes
dinformation ont tabli quil y avait une nouvelle gnration connecte 29
grandissante au sein des entreprises et que, par consquent, il faut adapter la manire
de sensibiliser ces utilisateurs. Pour cela, les auteurs du livre blanc Sensibilisation
la scurit de linformation 2.0 30 donnent des conseils pour rendre la communication
faite aux utilisateurs plus attractive.
29
BENNASAR, Matthieu, BRIGAUD, Julien, COMBES, Ltitia. Sensibilisation la scurit de
linformation 2.0 [en ligne]. Livre Blanc. PARIS : LEXSI INNOVATIVE SECURTIY, 2013. Pages 7-
8
https://www.lexsi.fr/sites/default/files/publications/lb_sensibilisation_a_la_securite_de_linformation_
2.0.pdf
30
Les citations inclus dans ce chapitre qui proviennent de ce livre blanc sont toute la page 6.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 36
5.3.3 Moyen interactif
Aprs, selon les auteurs, il sagit de trouver un novateur moyen et adapt leur
gnration pour les faire participer de manire interactive et amusante, ainsi ils seront
ravis de collaborer. Un utilisateur [de cette gnration] ne retient que sil participe
[] Apprendre en samusant est un des moyens de les toucher directement et de les
faire sintresser la scurit. Ainsi, ils retiendront ce quils ont appris, parce quils
auront t impliqus dans le processus, et ils sintresseront davantage la scurit.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 37
5.4 Les canaux de communication
Pour finir, pour mettre en place une bonne culture de la scurit de linformation au
sein dune entreprise, il faut travailler sur les trois dimensions que reprsente la
sensibilisation, qui sont, pour rappel, linformation, la communication et la formation.
Ainsi, il est judicieux de dterminer les canaux de communication adquats pour
vhiculer les informations relatives au programme de sensibilisation voulu au sein
dune entreprise. Pour ce faire, nous trouvons beaucoup de conseils sur internet, avec
diffrents points aborder ou encore des moyens de communication et de formation,
qui se ressemblent tous, au final.
Le CERN, par exemple, propose des cours privs, mais aussi diffrents supports
dexemples, afin de mener bien une communication sur la scurit informatique dans
les entreprises. LEPFL et le CASES aussi propose des supports de communication.
LENISA fournit une multitude de supports disposition de tous sur son site internet.
Dans son guide utilisateur, elle indique quelques canaux de communication
intressants mettre en place, ainsi que leurs avantages et leurs inconvnients. Tout
comme, dans le livre blanc Sensibilisation la scurit de linformation 2.0 31.
Microsoft propose aussi des masques pour des supports de communication adquats,
comme expliqu auparavant. Enfin, dans les nombreux livres que nous avons lu, ce
trouve quelques conseils et exemple pour rdiger une politique de scurit, ainsi
quune charte utilisateur lattention de ses collaborateurs.
31
BENNASAR, Matthieu, BRIGAUD, Julien, COMBES, Ltitia. Sensibilisation la scurit de
linformation 2.0 [en ligne]. Livre Blanc. PARIS : LEXSI INNOVATIVE SECURTIY, 2013. Pages 9-
10
https://www.lexsi.fr/sites/default/files/publications/lb_sensibilisation_a_la_securite_de_linformation_
2.0.pdf
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 38
5.5 Solution informatique
Enfin, durant nos recherches, nous avons constat quil existe une solution
informatique pour grer entirement une campagne de sensibilisation la scurit du
systme dinformation. Nous avons donc pris contact avec les deux entreprises32
trouves qui proposent cet outil afin de les essayer durant une trentaine de jours
comme propos. Seule une entreprise a rpondu33, cependant, elle ntait pas en
mesure de nous fournir lapplication de dmonstration, car notre travail navait pas de
fins professionnelles. Nanmoins, nous pouvons quand mme supposer, selon la
description qui en est faite, quune solution informatique comme celle-l permet de
faciliter la gestion complte dun programme de sensibilisation, tant donn que toutes
les diffrentes phases abordes dans ce chapitre sy trouvent.
5.6 Conclusion
En conclusion, daprs tous ces organismes et entreprises experts dans le domaine de
la scurit des systmes dinformation, il est important :
Ainsi ces deux points cruciaux permettront en interne dhomogniser les bonnes
pratiques scuritaires et de diffuser une culture de la scurit commune tous
travers lentreprise et en externe de renvoyer une image et une rputation responsable
et professionnelle ces partenaires commerciaux.
32
Conscio-technologies. Sensiwave, un nouveau lien entre lentreprise et ces collaborateurs [en
ligne]. http://www.conscio-technologies.com/?option=com_content&view=article&id=109&Itemid=92
Terranova. Sensibilisation Scurit de lInformation [en ligne].
http://www.tnawareness.com/fr/securite-information
33
Voir la rponse notre demande lannexe 2.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 39
6. Dans la ralit
Pour tenter de comprendre rellement comment les entreprises sensibilisent et
forment, sur le terrain, leurs employs la scurit des systmes dinformation, nous
nous sommes rendus dans trois entreprises du domaine tertiaire, reprsentants des
activits diffrentes, ainsi que dans deux Hautes Ecoles Spcialises.
6.1.1 Banque
Au sein dune banque la scurit est essentielle tant au niveau des infrastructures
lectroniques et informatiques, quau niveau humain. La rputation de lentreprise tient
entre autres sur deux bases essentielles qui sont la confidentialit et la scurit des
informations avec lesquelles elle travaille. Sans une politique de scurit et une culture
dentreprise qui mise sur la discrtion, la rputation de la banque en ptit.
34
Vous trouverez les interviews des entreprises lannexe 3
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 40
matire de scurit. Rien ne sort, ni ne rentre quel que soit le support de stockage. De
plus, chaque nouvel employ reoit une petite formation son arrive.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 41
en place auprs des employs, a t teste. Malheureusement, il savre quil y a peu
demploys qui appliquent toutes les rgles de scurit.
6.1.2 Multinationale
Voyons maintenant comment cela se passe dans une entreprise multinationale, dont
un de ses objectifs de scurit de protger ses donnes, ainsi que dventuelles
nuisances pour ses affaires.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 42
Pourtant, notre interlocuteur sest dirig instinctivement sur lintranet de lentreprise
pour voir sil pouvait y avoir accs. Il nest donc pas sr que chaque employ se
souvienne o il peut la trouver. Cette politique de scurit volue selon les besoins de
lentreprise, ainsi quau gr des audits internes effectus par une entreprise externe,
suivant les normes de scurit en vigueur. Ces rgles sont communes tous les
collaborateurs, nanmoins, il pense quil y a peut-tre une ou deux exceptions selon le
travail effectu au sein de la compagnie.
35
Photo prise dans lentreprise le jour de linterview le 30 juillet 2013.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 43
Compromis entre mesures techniques et activits professionnelles
Bien que les collaborateurs de lentreprise soient informs des mesures de scurit
adopter au quotidien, les employs ne comprennent pas toujours limportance de
lenjeu qui est derrire ces bonnes pratiques.
Si un incident venait tre signal, une quipe interne soccupe de rechercher toutes
les traces laisses dans le systme, afin de connaitre le responsable et les dgts
commis. Ensuite des mesures sont prises selon la gravit et la frquence des
mauvaises manipulations.
Notre interlocuteur estime tout de mme que la sensibilisation faite auprs des
utilisateurs est bonne, bien que des amliorations puissent tre faites.
En conclusion, dans cette entreprise, les mesures de scurit ont t juges selon
limpact quelles pouvaient avoir sur les affaires de lentreprise. Elles sont values de
manire prendre en compte le risque rel qui pourrait survenir et ainsi viter aux
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 44
collaborateurs des manipulations qui pourraient les amener contourner le systme,
afin de faire leur travail plus rapidement. Lentreprise utilise mme des supports de
communication adapts aux employs. Comme les posters qui expliquent ce quils
doivent faire ou non selon une situation, et ceux-ci sont mis dans les lieux communs l
o ils peuvent prendre le temps de les lire.
6.1.3 PME
Pour finir, nous avons interview le directeur du service informatique dune moyenne
entreprise de Genve, afin de comprendre comment elle aussi communique et diffuse
sa politique de scurit auprs de ses collaborateurs pour limiter les incidents de type
humain sur son systme dinformation.
Cette quipe diffuse ces rgles de bonnes pratiques ou ces avertissements de scurit
de manire crite et orale. La politique de scurit volue constamment selon les
besoins de lentreprise. Elle envoie donc un mail ds quil y a un changement. De plus,
en matire de sensibilisation, elle informe ses collaborateurs par courrier lectronique
avec des exemples rels lappui pour mieux faire comprendre limportance de ces
rgles de scurit. Elle envoie aussi des courriers lectroniques de rappels tous les
deux mois.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 45
entreprises, ncessitent une formation rgulire et plus rigoureuse sur la scurit quun
employ interne.
Pour finir, notre interlocuteur estime que la sensibilisation faite dans lentreprise,
auprs des utilisateurs est bonne. Dailleurs, il sen aperoit lorsque ceux-ci font
attention et posent des questions.
En conclusion, la sensibilisation des employs est prise trs au srieux par les
instances dirigeantes. La politique de scurit est mise en avant sur lintranet de la
compagnie, et un mail indique au nouvel employ o il la trouver en cas dinterrogation
de sa part. De plus, la campagne de sensibilisation qui a t mise en place dans cette
entreprise, passe par les trois dimensions vues prcdemment et elle sadapte aux
besoins de chaque mtier de lentit. Les responsables utilisent judicieusement des
exemples rels, afin de dmontrer limportance des messages de scurit quils
souhaitent faire passer. Enfin, nous pouvons voir que les employs sinterrogent sur la
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 46
scurit et nhsitent pas poser des questions auprs du centre informatique, ce qui
montre que la sensibilisation tablie porte ses fruits.
En conclusion, chaque entreprise interroge est consciente des risques qui dcoulent
de leurs propres employs et mettent en uvre une politique de scurit au sein de
lentreprise qui permet de sensibiliser sur au moins deux des trois dimensions, vues
prcdemment, chaque collaborateur ds son arrive, durant son mandat et jusqu
son dpart. De plus, la manire dont elles diffusent leurs explications fonctionne,
puisque chaque interlocuteur estime que le rsultat est concluant.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 47
6.2 Interviews - Hautes Ecoles Spcialises
Comme notre travail est principalement ax sur deux Hautes Ecoles Spcialises
prcises qui sont la Haute Ecole de Sant (HEDS) et la Haute Ecole de Gestion (HEG)
de Genve. Nous avons interview une vingtaine de collaborateurs, dont les
utilisateurs du systme dinformation, ainsi quun membre de la direction et du service
informatique de chacune delle. Dans le but de comprendre comment est mise en place
la sensibilisation au sein de ces deux coles.
Tout dabord, expliquons rapidement, quel est le but dune Haute Ecole Spcialise
(HES). Cest une universit de type professionnelle, qui [] dispense un
enseignement de niveau tertiaire, ax sur la pratique, dans le prolongement dune
formation post-obligatoire professionnelle. 36
Elle ralise en plus de lenseignement, des projets de recherches dont les rsultats
servent amliorer lenseignement dispens, fournit des prestations des tiers et
assure un change avec le milieu professionnel. Ces objectifs lui confrent une
rputation importante au niveau Suisse. Ce type dcole joue un rle important au
niveau de la formation nationale, elle dlivre des diplmes formateurs, qui sont
reconnus au niveau national et international. Elle collabore aussi avec dautres entits
de formation et de recherches travers le monde.
Communication de base
Aprs avoir interview six personnes au sein du corps administratif et enseignant, nous
avons pu constater quune sensibilisation basique lutilisation scurise des outils
informatiques, a t diffuse oralement par le centre informatique.
36
HAUTE ECOLE SPECIALISEE DE SUISSE OCCIDENTALE. Qui sommes-nous [en ligne].
http://www.hes-so.ch/fr/sommes-nous-26.html
37
Vous trouverez les interviews des collaborateurs de la HEDS lannexe 4
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 48
En effet, lorsquun employ prend ces fonctions au sein de lcole, un administrateur
systme communique ces trois rgles de base :
Toutefois, le responsable informatique explique que seule la charte est disponible sur
lintranet, et que les explications donnes, lengagement dun collaborateur, ne le
sont pas.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 49
Information perdue dans la masse
Depuis, cependant, plus rien na t fait, daprs les utilisateurs, pour poursuivre cette
sensibilisation la scurit du systme dinformation.
Le responsable informatique, cependant, nous explique quil est trs rare quil mette
des avertissements, car il ny a pas eu de menaces depuis. Mais il rappelle certaines
informations au moins une fois par anne par courrier lectronique ou oralement.
Ces collaborateurs ne se souviennent pas avoir lues ces informations, mais supposent
tout de mme quelles soient passes inaperues dans la masse de courriers
lectroniques reues la rentre.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 50
6.2.2 Haute Ecole de Gestion38
Cette Haute Ecole forme des professionnels de lconomie et des services. Dans cette
cole, nous avons des professionnels qui cherchent, crent et transforment
linformation afin de crer une valeur ajoute.
Communication succincte
Aprs avoir interview quatre personnes au sein du corps administratif et enseignant,
nous avons pu constater quil ny a aucune sensibilisation qui est faite lors de
lengagement dun nouveau collaborateur au sein de lcole. Le directeur adjoint
explique que le service informatique et la direction se base sur les us et coutumes des
utilisateurs, quil ny a donc pas besoin les en informer.
Toutefois, bien que les responsables concerns nestiment pas tort que les
utilisateurs aient dj un bagage de par leur formation ou lhabitude dun ordinateur,
38
Vous trouverez les interviews des collaborateurs de la HEG lannexe 5
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 51
encore beaucoup ne sont pas forcment conscients des risques quils prennent suivant
lutilisation quils en font. Ils nont peut-tre mme pas t sensibiliss du tout, que ce
soit leur ancien poste ou durant leur apprentissage avec un ordinateur.
Certains, mmes, demandent des explications leur collgue afin de pouvoir appliquer
certains gestes pour scuriser linformation, ce qui contribuent perptuer dventuels
mauvais usages.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 52
6.2.3 Impacts de la sensibilisation en HES
Aprs linterview des collaborateurs de ces deux coles, nous avons peru un manque
assez important dinformation, de communication et de formation de la part du service
informatique et de la direction de lcole. Alors pourquoi y-a-t-il encore cet cart de
vision entre les responsables de la scurit et les utilisateurs ? Quels impacts cela a-t-il
sur les utilisateurs et le SI ?
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 53
programme de formation, qui permet dintgrer les usages scuritaires et dimpliquer
les utilisateurs, afin quils sachent comment faire, comment ragir, et comment rduire
limpact de leurs manipulations.
6.2.4 Conclusion
En dfinitive, nous remarquons quil ny a pas de culture de protection des informations
au sein des deux HES, aucune des deux directions ne transmettent clairement leurs
visions de la scurit leurs collaborateurs. Les moyens de communication et de
formation sont inadapts, voir inexistants, les utilisateurs ne reoivent pas de
messages prcis concernant la scurit de leurs informations professionnelles et ne
connaissent pas forcment les bonnes pratiques mettre en uvre pour viter de faire
prendre des risques lcole.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 54
7. Mise en place dans un cas concret
Lobjectif de ce chapitre est de proposer une manire de rduire lcart de
communication quil y a entre le centre informatique et les utilisateurs du SI dune HES
concernant la politique de scurit implante en utilisant la sensibilisation. Les
collaborateurs doivent pouvoir bnficier dun meilleur programme de sensibilisation,
pour remettre niveau leurs connaissances en matire de scurit, dans le but de
rduire les risques numrs tout au long de ce travail.
Nous proposons des amliorations qui motiveraient tous les collaborateurs user des
bonnes pratiques de scurit recommandes par le service informatique. Cette
campagne doit leur faire prendre conscience quils font partie intgrante du processus
de SSI install par lentreprise.
Phase 1 : Planification ;
Phase 2 : Conception ;
Phase 3 : Diffusion ;
Phase 4 : Evaluation ;
Phase 5 : Maintenance.
De plus nous proposons, de partager la diffusion en deux tapes :
Etape 1 : piloter le programme avec un groupe limit une dizaine dutilisateurs
cibles, pour sassurer de la pertinence du contenu et son droulement. Suite
ce pilote, nous procderons aux amliorations ncessaires.
Etape 2 : mettre en uvre pour toute lcole et ce de manire incrmentale par
groupe.
La diffusion du programme pour chacune des deux tapes se fera suivant les quatre
axes suivants :
Axe 1 : Information
Axe 2 : Communication
Axe 3 : Formation
Axe 4 : Evaluation
Les points suivants dcrivent chacune des phases et leur contenu.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 55
7.1 Planification de la sensibilisation
Tout dabord, il faut constituer une quipe pour mener bien une campagne de
sensibilisation. Pour cela, nous suggrons de puiser dans les ressources de lcole.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 56
7.1.2 Organisation
Ensuite, nous avons tabli un planning, qui permet de visualiser dans le temps les
diffrentes tches accomplir pour la campagne de sensibilisation. Il faut, cependant,
prendre en compte quil reflte une situation idale . C'est--dire quil faut supposer
que la direction ait donn son accord, et que les collaborateurs dont nous avons
besoin, sont libres aux moments voulus et peuvent consacrer une partie de leur temps
de travail la ralisation de ce projet.
Toutefois, ce plan nest pas optimis, certaines tches peuvent tre faites en parallle
par des acteurs diffrents. De plus, le nombre de jours propos est approximatif, car
nous navons pas les moyens pour dtermin exactement le temps pour effectuer une
tche.
En ce qui concerne les ressources humaines, nous avons toutefois, voulu reprsenter
financirement le temps pass par lquipe de projet afin de nous faire une ide sur le
cot, bien que selon les entreprises, les ressources internes ne sont pas toujours
39
Vous trouverez la planification de la phase 1, ainsi que son budget lannexe 6
40
Vous trouverez la planification de la phase 2, ainsi que son budget lannexe 7
41
Vous trouverez la planification de la phase 3 tape 1, ainsi que son budget lannexe 8
42
Vous trouverez la planification de la phase 3 tape 2, ainsi que son budget lannexe 9
43
Vous trouverez la planification de la phase 4 tape 1, ainsi que son budget lannexe 10
44
Vous trouverez la planification de la phase 4 tape 2, ainsi que son budget lannexe 11
45
Vous trouverez la planification de la phase 5, ainsi que son budget lannexe 12
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 57
factures au projet. Nous avons dtermin que le cot moyen dun collaborateur pour
ce projet est denviron 100'000 francs par anne et travaille 210 jours par an, ce qui
revient environ 476 CHF par jour. Nous avons estim la charge de travail effective
jusqu la fin de la phase 4 est denviron 152 jours (effort), ce qui donne un cot
approximatif de 72'000 CHF en ressources humaines.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 58
Tableau 5 : Groupes dutilisateurs cibls et les objectifs de sensibilisation
Groupes
Niveaux de sensibilisation Objectifs de la sensibilisation
cibles
Accroitre la comprhension dun tel
projet.
Sassurer de leur engagement et
support lors de la campagne.
Ils ont un niveau de conscience Rester informs sur les dangers
Direction
lev du leurs responsabilits. des technologies utilises au sein
de ltablissement, pour permettre
des prises de dcisions
stratgiques.
Rester eux-mmes informs et
forms.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 59
7.2.2 Messages cibls
Ensuite, ces groupes doivent comprendre quils ont la scurit des informations de
lcole entre leurs mains, que les informations quils manipulent doivent rester
confidentielles, disponibles et intgres pour leur travail et la rputation de lcole. Cest
pourquoi, la communication lors du programme doit utiliser un message qui les touche.
Personnel
Informatique
Restez un lment important de la scurit des informations de
(incluant votre cole.
professeurs et
assistants)
Voici une suggestion de thmes qui pourraient tre traits lors durant la premire
anne du programme.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 60
Tableau 7 : Contenu de la sensibilisation adapt aux groupes cibles
En effet, pour les membres de la direction, ils sont souvent amens utiliser leurs
tlphones mobiles pour leur travail, ils sont amens par leur responsabilit se
dplacer lextrieur de lcole ou travailler la maison et ont parfois besoin
dutiliser diffrents supports pour la sauvegarde de leur travail ou lchange
dinformations avec leurs partenaires de travail. Ils traitent aussi des documents
confidentiels.
Ensuite, nous en venons au cur des collaborateurs qui ont besoin dtre sensibiliss
pour un nombre de points plus importants que leurs autres collgues. Ces deux
groupes, les professeurs et le personnel administratif et technique, sont des groupes
trs htrognes avec des responsabilits et des tches qui diffrent et des
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 61
connaissances toutes aussi varies. Cest pourquoi nous ne pouvons pas plus les
subdiviser.
Effectivement, un grand nombre de ces utilisateurs ont encore des difficults avec la
scurit de leurs outils informatiques. Beaucoup utilisent leurs outils informatiques
des fins personnelles pendant leurs pauses, connectent des mdias sur leur poste ou
lancent des impressions et oublient daller rcuprer les documents. Ensuite, il y a
aussi le problme dingnierie sociale qui est pos, car beaucoup pour tre serviable
rpondent des questions sensibles par tlphone ou par courrier lectronique sans
se demander si linterlocuteur est bien celui quil prtant tre, pour ne citer quun
exemple parmi limmense palette de possibilits de lingnieur sociale.
Pour finir avec les informaticiens, ayant dj beaucoup de connaissances sur les
faiblesses des technologies de linformation, il est prfrable daxer la sensibilisation
sur des points o ils ont aussi de petites faiblesses en tant qutre humain. Comme le
fait que par exemple, lingnierie sociale prend diffrentes formes, lorsquils utilisent
des outils de lcole en dehors, il faut quils fassent attention et les documents
imprims doivent tre rcuprs immdiatement et dtruits si ceux-ci prsentent une
sensibilit.
En effet, le moyen de communiquer est primordial afin que les individus auxquels nous
nous adressons intgrent le message que nous souhaitons faire passer. Il faut que les
collaborateurs puissent prendre le temps de sinformer, dapprendre et de se former
pour retenir et appliquer lessentiel du programme de sensibilisation mis en uvre.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 62
dimensions quun programme de sensibilisation doit avoir. A lannexe 13, vous
trouverez le tableau avec les canaux non retenus et leurs justifications.
Canaux Pourquoi
Information
Direction Soutenir et entretenir le message de scurit de manire
orale ou crite.
Chef de groupe Entretenir le message de scurit de manire orale ou
crite.
Rglement Les rglements existent dj.
Charte informatique La charte informatique existe dj.
Contrat Les contrats existent dj.
Politique de scurit Elle prend du temps, des ressources, mais elle est
essentielle la diffusion de la scurit. Donc elle est
importante mettre en place.
Confrence Il faut prendre du temps pour tablir le contenu, trouver
les collaborateurs responsables, agender un moment qui
convienne une majorit de collaborateurs concerns.
Mais cela fait parti du processus de sensibilisation, afin
que les employs se sentent impliqus dans le
programme.
Communication
Questionnaire Il faut prendre le temps pour tablir des questionnaires
axs sur les diffrents sujets de scurit, mais le support
ne cot rien, surtout si celui-ci se trouve en ligne.
Site intranet L'intranet existe dj, il faut juste prendre le temps de
stocker et mettre en forme le contenu de la sensibilisation.
Ecran de veille Les crans de veille en eux-mmes ne cotent rien et ils
sont installs par le service informatique.
Fond dcran Idem que pour les crans de veille.
Message sur lordinateur Les messages ne cotent rien, il faut juste prendre le
temps de personnaliser un message destin un
collaborateur prcis.
Courrier lectronique Les courriers lectroniques ne cotent rien et sont
envoys par le service informatique, dans le cadre de leur
mission.
Newsletter Les newsletters ne cotent rien et sont envoys par le
service de communication, dans le cadre de leur mission.
Affiches Les affiches prennent du temps pour leur conception et le
support et limpression peuvent coter. Mais ensuite, leur
contenu peut tre repris sur dautres supports.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 63
Helpdesk Cest un moyen de communication qui existe dj et il est
amen avec les interventions que le service a fournir.
Formation
Mise en situation Il faut en tablir le contenu, les collaborateurs qui les
dispensent, occuper une salle, agender la mise en
situation, et suivant ce que le programme contient,
compter les cots en support matriel.
Atelier Idem que pour les mises en situation.
46
Exemple de communication au moyen daffiches tir du site de CASES, qui proposent une rflexion
sur son comportement face la scurit de son poste de travail :
CYBERWORLD AWARENESS & SECURITY SURVEY ENHANCEMENT SERVICES. Se protger
[en ligne]. https://www.cases.lu/fr/la-sensibilisation-et-la-formation.html (consult le 02.07.2013)
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 64
Avez-vous appris des bonnes pratiques jusque l inconnues ?
Avez-vous des suggestions ?
Avez-vous des points ngatifs dont vous souhaitez faire part ?
Comprenez-vous mieux limportance de la scurit ?
Allez-vous mettre en pratique la sensibilisation reue ?
Pour la seconde, il sagit dvaluer si la campagne de sensibilisation porter ses fruits,
en utilisant les moyens suivants :
Moyens Explications
Questionnaire Etablir un questionnaire avec des questions comme : Que
feriez-vous si choix multiple. Les faire remplir chaque
collaborateur.
Rapport dincidents Grce aux rapports dincidents, lquipe en charge de la
scurit peut tablir sil y a plus ou moins de fautes commises
par leurs collaborateurs. Laudit est faire sur le long terme.
Helpdesk Ce sont les collaborateurs qui peuvent donner un ressenti
global sur la prise de conscience de leurs collgues concernant
leur sensibilisation. Ils sont proches deux et donc en direct
avec le terrain.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 65
7.5 Maintenance sur le long terme
Pour finir, cette dernire phase, consiste maintenir le programme de sensibilisation
sur le long terme afin de constituer une culture solide de la scurit des informations
au sein de lcole.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 66
7.6 Conclusion
Avec ces diffrentes propositions, les utilisateurs deviendront des collaborateurs
avertis et lcart de vision de la SSI pourra tre rduit entre les utilisateurs, le service
informatique et la direction.
Toutefois, comme nous lavons constat, cela demande du temps pour les ressources
internes, ainsi quune volont de la direction pour mettre en uvre ce programme de
sensibilisation. En plus, comme nous lavons vu les sujets de sensibilisation sont
nombreux et ne pourront donc pas tous tre pris en compte en mme temps. Cest
pourquoi, lcole devrait identifier les priorits ainsi que des quick-wins 47 mettre
en place, pour obtenir des rsultats plus rapidement, et rgler les problmes les plus
importants. Il faudrait par exemple commencer tout simplement par informer les
collaborateurs sur la scurit de leur poste de travail et des documents qui restent sur
les copieurs, nous pensons que ce serait dj un premier pas.
47
Ce sont des mesures effet rapide.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 67
8. Synthse
En conclusion, ce quil faut retenir pour rduire limpact du jugement de ltre humain et
de ses actes sur le systme dinformation de lentreprise, cest de partager la vision de
lentreprise en matire de scurit du systme dinformation, ds lengagement dun
collaborateur. Quafin de mener bien une campagne de sensibilisation en un
programme structur et reconnu, il sagit dobtenir le soutien des instances dirigeantes
pour lgitimer ce programme de sensibilisation au travers de lentreprise.
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 68
Bibliographie
Articles en ligne :
Cours :
Livres :
HARLE, Thierry, SKRABACZ, Florent. Cls pour la scurit des SI. Paris :
Herms Sciences, 2004. 296 p. : ill. (Management et Informatique)
Livres lectroniques :
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 69
Norme :
Sites web :
DELOITTE, 2013. Blurring the lines 2013 TMT Global Security Study [PDF].
2013. In : Deloitte.
http://www.deloitte.com/view/en_GX/global/industries/technology-media-
telecommunications/a4f47802b967b310VgnVCM3000003456f70aRCRD.htm#
(consult le 29.07.2013)
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 70
EPFL. Campagne de sensibilisation la Scurit Informatique [en ligne].
https://secure-it.epfl.ch/sensi/ (consult le 02.07.2013)
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 71
PRICEWATERHOUSECOOPERS, 2011. Respect - but still restrained 2011
Global State of Information Security Survey [PDF]. 2011. In :
PricewaterhouseCoopers.
http://www.pwc.fr//assets/files/pdf/2010/12/pwc_2011_it_security_survey_report
.pdf (consult le 29.07.2013)
Travail de Bachelor :
Vido en ligne :
Deloitte. Situation de cyber attaque susceptible de menacer votre entreprise [en ligne].
http://www.deloitte-france.fr/video/CPL/video.htm, dure : 4 min (consult le
16.09.2013)
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 72
Annexe 1 : Canaux de communication proposs
Tableau des moyens dinformation
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 73
Tableau des moyens de communication
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 74
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 75
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 76
Tableau des moyens de formation
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 77
Annexe 2 : Mail de rponse
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 78
Annexe 3 : Interviews des entreprises prives
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 79
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 80
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 81
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 82
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 83
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 84
Annexe 4 : Interviews la Haute Ecole de Sant
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 85
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 86
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 87
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 88
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 89
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 90
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 91
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 92
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 93
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 94
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 95
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 96
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 97
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 98
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 99
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 100
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 101
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 102
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 103
Annexe 5 : Interviews la Haute Ecole de Gestion
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 104
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 105
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 106
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 107
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 108
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 109
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 110
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 111
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 112
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 113
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 114
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 115
Annexe 6 : Plan Phase 1 - Planification
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 116
Annexe 7 : Plan Phase 2 Conception
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 117
Annexe 8 : Plan Phase 3 Diffusion Etape 1
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 118
Annexe 9 : Plan Phase 3 Diffusion Etape 2
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 119
Annexe 10 : Plan Phase 4 Evaluation Etape 1
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 120
Annexe 11 : Plan Phase 4 Evaluation Etape 2
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 121
Annexe 12 : Plan Phase 5 Maintenance
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 122
Annexe 13 : Canaux de communication non adapts
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 123
Annexe 14 : Affiches de sensibilisation
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 124
Sensibilisation la scurit du systme dinformation : Moyens utiliss, impacts observs, comment amliorer ?
BORBON Claire-Stefanie 125