Ça démarre comment, un projet de sensibilisation des utilisateurs à la sécurité ? Et comment le mène-t-on à terme ? C’était le thème du dernier petit-déjeuner organisé à Paris par SecurityVibes.

Chez l’équipementier Daher tout est parti d’une infection virale. Le groupe y a répondu efficacement, certes, mais de manière uniquement technique. Afin de limiter les risques d’une rechute, une approche complémentaire tournée vers les usagers du SI a semblé utile.

Ajoutons-y enfin un rapport du commissaire aux comptes, qui note de son côté la croissance du groupe et pointe la nécessité de formaliser sa protection, et l’idée est acquise. « L’objectif était de faire monter nos collaborateurs en compétence sur la sécurité. Et la sensibilisation est l’un des outils pour y parvenir« , résume Stéphane Joguet, le RSSI du groupe.

Nous sommes à l’automne 2010 et le comité de pilotage se réunit pour la première fois. Le projet sera articulé en deux phases. L’objectif de la première (phase « projet« ) sera de jeter les bases et de réaliser un premier test : préciser les enjeux, définir la stratégie et les messages, se mettre d’accord sur le périmètre, préparer l’accompagnement du changement et surtout penser à la suite : comment les métiers et la DSI pourront s’approprier le projet.

Les enjeux sont clairs : « développer, atteindre et maintenir un niveau de maturité en sécurité des systèmes d’information en adéquation avec les besoins du groupe« , résume Stéphane Joguet. Et faire en sorte que les métier puissent à terme s’approprier le projet et produire eux-même des indicateurs sur leur maturité sécurité.

Le périmètre est quant à lui vite trouvé : ce sera l’ensemble des salariés ayant un accès au SI (qu’ils aient ou non un accès à Internet). Soit environ 2500 personnes répartis dans deux pôles métiers et huit pays.

L’outil retenu sera Sensiwave, de Conscio Technologies, avec un accompagnement par les consultants d’Hapsis. Cette solution a notamment été choisie parce qu’elle totalement en ligne (en mode SaaS), ce qui en facilite la gestion centralisée dans une organisation où il n’y a pas toujours de correspondants sécurité locaux.

Quant aux objectifs, il est décidé qu’ils seront chiffrés en terme de participation des collaborateurs (cible à 70%). Par ailleurs le niveau de maturité des différents pôles sera quantifié et sa progression mesurée.