Créer et présenter des scénarios réalistes pour vos collaborateurs.
« L’exemple est plus marquant que la théorie. » Utiliser ce modèle pour transmettre à vos collaborateurs les bons gestes à effectuer et miser sur l’impact qu’une situation réelle peut provoquer.
La formation de vos collaborateurs ne doit être uniquement basé sur des présentations autour d’un défilé de diapositive. Animer vos présentations d’exemples concrets mais également partager des situations réellement vécues. Si possible créer des situations « en live » d’attaque pour marquer l’auditoire.
Mettre en avance l’impact sur la société et ses collaborateurs
La sécurité de l’information nous impact tous : particulier, professionnel, organe étatique… Des exemples de préjudice et de leurs impacts sur les personnes et sociétés sont pléthores.
Montrer alors quelles peuvent être les conséquences pour l’entreprise et l’impact sur ses collaborateurs (cessation d’activité, dégradation de l’image et perte de client potentiel, licenciement économique…). Adapter ces impacts à votre situation.
Choisir des scénarios par thématique abordée
Choisissez un à deux scénarios par thématique et utilisez-les pour étayer vos formations. Voici des exemples de cas réels :
- Fuite de données : vous êtes un cabinet d’architecture participant à un concours. Un de vos collaborateurs copie les plans sur une clé USB pour travailler à la maison. Sauf que le collaborateur perd cette clé USB et les plans sont diffusés sur Internet ! Votre projet dévoilé, vous perdez d’avance le concours sans même y avoir participé.
- Ransomware : un collaborateur a trouvé une clé USB sur le parking, voulant la remettre à son propriétaire il décide de la consulter sur son ordinateur du travail. La clé USB était un appât contenant un ransomware qui par propagation bloque tous les ordinateurs de la société. Toute l’activité de la société est ainsi stoppé durant une semaine, le temps de nettoyer et restaurer les ordinateurs. Chômage technique pour tous les employés, perte financière à calculer selon votre activité.
- Phishing : un email du directeur demande en urgence un versement à une société de rapatriement, car actuellement en vacances, il doit se faire rapatrier suite à un accident. La secrétaire destinatrice de l’email et inquiète pour le directeur, transfert la somme demandée… La société met la clé sous la porte 10 jours plus tard, il s’agissait d’un email de type « fraude aux ordres de virements ».
Ces exemples doivent être adaptés à vos activités afin d’être le plus impactant possible pour vos collaborateurs. L’idée est de les responsabiliser et de leurs démontrer qu’ils ont une part à jouer dans l’entreprise en terme de sécurité de l’information.
Les collaborateurs doivent être sensibilisé car la faille proviendra de l’un deux que ce soit par négligence, facilité ou méconnaissance. Montrez leur l’impact et expliquer l’importance de leurs actions.
Réaliser de fausses attaques pour l’exemple
Autre approche, réaliser de fausses « attaques » pour sensibiliser. Quel meilleur exemple qu’une « attaque » réussie. Créer des scénarios en lien avec vos analyses de risque, et lancer de fausses attaques. Ceci pourra créer un électrochoc auprès des personnes impactés.
Ensuite participer avec ces personnes à un débriefing pour connaitre leurs impressions. Surtout ne les blâmer pas ! L’idée étant de sensibiliser et de comprendre comment éviter que la situation ne se reproduise. Sanctionner serait contre-productif au risque de fermer les échanges.
Pour conclure, si vous souhaitez transmettre à vos collaborateurs les éléments clés en terme de sécurité de l’information, mettez en place des formations par l’exemple. Donnez des exemples d’impacts et de préjudices en lien avec votre activité pour maximiser la portée de votre discours.
