Former et nommer des volontaires qui seront vos « sauveteurs du numérique » !
Le « bon samaritain » est un bénévole qui s’engage dans le service de sauvetage et de santé pour ainsi devenir des citoyens sauveteurs. Il est formé aux premiers secours et intervient lors de manifestations publiques comme privées. Dans les entreprises, ils sont les référents lorsqu’une intervention de santé ou d’urgence est nécessaire. Ils opèrent les premiers gestes de secours ou d’évacuation lorsque nécessaire (source : https://www.bon-samaritain.org/ et https://www.samariter.ch/fr ).
Utilisez ce modèle mais en « mode » sécurité de l’information ! Vos bons samaritains seront les référents immédiats dans chaque service pour répondre aux questions en matière de sécurité.
La problématique
Dans bon nombre d’entreprise, le responsable de la sécurité de l’information a plusieurs casquettes, doit jongler entre de la mise en place technique et organisationnelle, et surtout peu de temps à consacrer à la sensibilisation et la surveillance proactive.
Il devient difficile, voire impossible d’être sur le terrain auprès de tous les collaborateurs pour détecter, conseiller ou répondre aux questions de sécurité. Ce manque de visibilité, n’aide pas les collaborateurs à se sentir concerné et responsable en termes de sécurité de l’information.
Des procédures d’annonces, une charte ou des politiques de sécurité ne pourront pas remplacer l’Humain lorsqu’un besoin apparaitra.
Le « bon samaritain de la sécurité »
Alors qui choisir et pourquoi ? Cette question est légitime alors que chaque collaborateur a déjà ces tâches au sein de l’entreprise et n’est pas un expert de la sécurité.
Le profil type est le suivant :
- Bénévole : on ne désigne pas un bon samaritain, on propose aux collaborateurs ceux qui serait intéressé.
- Technophile : un attrait pour les technologies est un plus, mais pas forcément obligatoire, surtout que la formation que vous apporterez suffira amplement pour son rôle.
- Communiquant : pour ce point la personne devra être à l’aise dans les rapports Humains pour faire passer les messages avec bienveillance et sans juger.
Les « bon samaritain de la sécurité » devront être des personnes de terrain et de divers services, l’idéal étant une personne par service (RH, comptabilité, métier…).
Ils devront être formés et sensibilisés par le responsable sécurité. Ces formations devront être adaptés à chaque entreprise et ses besoins. Mais surtout accessible à des non-informaticiens.
Définir leur périmètre
Le bon samaritain de la sécurité n’est pas un expert et encore moins le responsable de la sécurité. Il doit être une personne vers qui se tourner lorsqu’un collaborateur a un doute, une question immédiate. Par exemple, en aidant un collègue à vérifier un email suspect et en expliquant les bonnes pratiques à effectuer (vérifier l’expéditeur, les liens URL, ne pas ouvrir les pièces jointes…).
Le bon samaritain peut également porter attention et intervenir lorsqu’un collaborateur oubli de verrouiller sa session, trouve un badge d’accès, ou constate qu’un intervenant externe est laissé seul sans accompagnement dans les locaux.
Autres points, le bon samaritain pourra vous remonter (responsable sécurité), toutes informations utiles pour établir des campagnes de sensibilisation sur des thématiques ciblées. Il pourra également être un porte parole lorsqu’un événement particulier impactera votre entreprise (campagne de phishing, attaque DDoS…).
Leurs rôles doivent être déterminé selon les besoins de l’entreprise en termes de sécurité, et surtout ils doivent être communiqué à tous afin de légitimer leurs actions.
Pour résumer
Sensibiliser vos collaborateurs en nommant des « bon samaritain » de la sécurité de l’information. Ils seront au plus près du métier et des problématiques rencontrés. Leur connaissances métiers pourront vous être utiles pour améliorer la sécurité de l’entreprise.
