Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Sensibilisation : savoir s’adapter à son public

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Sensibilisation : savoir s’adapter à son public

Comment sensibiliser à la sécurité des populations très diverses dans l’entreprise ? De l’ouvrier au VIP, les approches varient du tout au tout. Le Cercle Européen de la Sécurité se réunissait à Lille la semaine dernière pour une table ronde consacrée aux stratégies de sensibilisation.

Avec cent vingt six métiers différents le Conseil Général de l’Aine fait office de véritable tour de Babel professionnelle. Difficile dans ces conditions d’appliquer une stratégie de sensibilisation à la SSI identique lorsqu’on s’adresse, par exemple, a une assistante sociale ou a un ingénieur. Il a alors fallu faire du sur-mesure. « Nous avons constaté que les profils scientifiques sont par exemple plus enclins à suivre des procédures et des instructions, ce qui rend les choses plus simples. Tandis que pour d’autres profils, par exemple dans le social, les mêmes instructions seront perçues comme une contrainte et il faudra alors plutôt tenir un discours didactique en expliquant en quoi les règles contribuent aussi à aider l’utilisateur ou la collectivité », explique Hervé Fortin, RSSI du Conseil Général de l’Aine.

Bien entendu, en fonction de la population à adresser, l’approche didactique peut trouver ses limites. « Pour certains de nos ouvriers le PC est comme une brouette ou un marteau : quand un collègue en a besoin parce que le sien ne marche plus, on le lui prête avec ses identifiants. Et il n’est pas simple dans ces conditions de faire comprendre par exemple la notion de séparation des rôles », renchérit Emmanuel Dupont, RSSI du cimentier Holcim. Plutôt que de renforcer les messages de prévention coûte que coûte, le RSSI a préféré circonscrire le problème : « puisque le PC est un outil, faisons en sorte qu’il le soit vraiment ! Ainsi pour ces PC industriels nous avons choisi de tout verrouiller. Il n’y a plus que les tâches métiers qui peuvent y être exécutées. Les ouvriers l’acceptent bien », poursuit Emmanuel Dupont.

Au fil du débat, trois populations se distinguent sans surprise : les ouvriers, les tertiaires et les VIP. Si le problème se règle donc essentiellement par un verrouillage des postes de travail dans le premier cas, et si les projets de sensibilisation traditionnels fonctionnent bien dans le second (instruction en présentiel, saynètes, jeux dits « sérieux », e-learning…), c’est la dernière catégorie, les VIP, qui pose le plus de problèmes. Eux n’acceptent bien entendu pas le verrouillage de leurs outils. Mais cela pourrait heureusement évoluer : « la population des top managers qui ont vécu l’arrivée de l’informatique comme une contrainte a tendance à disparaître », fait remarquer un intervenant. Les nouveaux, mieux formés et déjà familiarisés à l’outil, sont plus à même de comprendre les enjeux d’un plan de sensibilisation et de les accepter.

C’est d’ailleurs précisément de leur soutien au projet que dépend en grande partie son succès. Et pour cela aussi, les RSSI présents à la table du Cercle avaient leurs astuces. « Le calendrier a son importance ! J’ai volontairement retardé la présentation du plan de sensibilisation afin qu’il puisse être exposé à l’occasion d’une réunion sur un autre sujet qui rassemblait, autour du Directeur Général, tous les cadres. Cela a largement crédibilisé mon plan de sensibilisation et la charte Informatique qui était présentée. Je déplace ainsi plus facilement du monde lors des séances de sensibilisation en présentiel », poursuit en vrai stratège Hervé Fortin.

Autre outil incontournable de la sensibilisation, enfin : la charte Informatique. Si celle-ci peut être signée par chaque collaborateur à l’entrée dans l’entreprise, les RSSI réunis par le Cercle proposent une meilleure idée : avec le concours de la DRH et du service juridique, la charte pourra être annexée au contrat de travail. « C’est cette dernière solution que je compte privilégier à l’avenir. Même si ce n’est que psychologique, le fait que le contrat de travail soit lu et signé me semble plus engageant qu’une charte associée à un règlement intérieur qui n’est pas toujours lu », argumente Emmanuel Dupont.

La charte est commune à tous les collaborateurs, mais rien n’interdit de faire en sorte qu’elle précise certains points différents en fonction des métiers. C’est d’ailleurs d’autant plus envisageable qu’elle devra de toute manière être personnalisée en fonction du contexte de l’entreprise avant d’être mise en oeuvre. Pourquoi ne pas alors, à cette occasion, distinguer différentes catégories de personnels et leur attribuer des droits et responsabilités différents ? « Chez nous la sécurité des S.I (rattachée à l’audit, ndlr) travaille dans le même open space que le service juridique, ce qui favorise des échanges informels », avance en guise de piste de travail collaboratif Maxime Lecoeur, chargé de la sécurité chez l’IRCEM.

Et c’est probablement ici tout l’intérêt de ce débat proposé par Le Cercle de la Sécurité à Lille : il aura eu le mérite de rappeler que la sensibilisation a tout à gagner à être abordée différemment en fonction des populations de l’entreprise, notamment en s’adaptant aux métiers et aux responsabilités de chacun.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.