La sensibilisation à la sécurité de l information dans les entreprises En partenariat avec Les Assises Septembre 2014 CDSE 6 place d Estienne d Orves 75009 Paris Tel : 01 42 93 75 52 / Email : Contact@cdse.fr
En vue des Assises de la sécurité 2014 du 1 e octobre au 4 octobre 2014, le CDSE et le Cercle ont décidé conjointement de lancer une grande enquête sur la sensibilisation à la sécurité de l information. 122 professionnels de la sécurité (RSSI, expert sécurité, responsable Pôle Maîtrise des Risques, chef du Service Support et Production, DSI, chargé de mission, chef de Section Sécurité et Réseaux ) ont répondu à l enquête au mois de Juin. La sensibilisation des collaborateurs, un outil efficace mais pas toujours assez valorisé Pour 77 % des répondants, la sensibilisation de l ensemble des collaborateurs est un des moyens les plus efficaces pour assurer la confidentialité des données. Il n y a que le contrôle d accès logique (81 %) qui soit considéré comme étant plus pertinent et ceci loin devant le chiffrement des données (70 %), les contrôles d accès physiques (50 %) et le cloisonnement des réseaux/détection-prévention d intrusion (48 %). Bien que les éditeurs ne manquent pas de vanter les avantages de leurs solutions de lutte contre les fuites de données (Data Leak Prevention), 21 % seulement des répondants les jugent très utile. Plaçant ces solutions au même niveau d efficacité que les solutions permettant de supprimer définitivement les données (21 %). 2
Figure 1.1 : Les mesures les plus efficaces pour garantir la confidentialité Alors que les répondants sont persuadés de l efficacité de la sensibilisation, une majorité n y consacre qu un budget de moins de 10 K (47,37 %). La presque totalité du panel de répondants à ce questionnaire (84 %) dispose d'un budget inférieur à 50 K. On soulignera néanmoins que 3 % des répondants ont réussi à négocier une enveloppe supérieure à 250 K. Figure 1.2 : Les budgets alloués à la sensibilisation 3
Et ce montant alloué à la sensibilisation semble d autant plus faible quand on le compare avec le budget global de la sécurité informatique (hommes + prestations + équipements) dans les entreprises répondantes. Cela n en représente que 1,5 % du montant en moyenne pondérée. Par qui et comment sont faites les actions de sensibilisation Ce n est pas une surprise, c est dans la majorité des cas le service sécurité/sûreté qui est en charge de l organisation des actions de sensibilisation sur la sécurité de l information. Même si historiquement la sécurité de l information est très liée à la fonction informatique (27 %), on constate que le sujet a réussi à dépasser ces frontières et ce sont maintenant les services formation (7%), ressources humaines (7%) ou communication (5%) qui de plus en plus, se l approprient. Ceci est un signe fort qui montre que la sécurité de l information n est plus simplement l affaire de quelques spécialistes (sûreté, sécurité informatique ) mais que l entreprise prend réellement conscience de son importance. Figure 1.3 : Quel service est en charge des actions de sensibilisation 4
Pour réaliser leurs actions de sensibilisation, les répondants s appuient sur des lettre d informations (49,11 %), des supports Power Point (44,64 %), des formations en présentiel (44,64 %) et des conférences (31,25 %). On constate également que l e-learning, qui date d une dizaine d années, a réussi à faire sa place dans les outils privilégiés (27, 68 %) et a même réussi à détrôner le grand classique que sont les affiches (26,79 %), pour la cinquième place de notre classement. Curieusement, les supports préférés du marketing que sont les vidéos (11,61 %) et les goodies (7,14 %) n ont pas vraiment les faveurs des répondants. Peut-être ceci s explique-t-il par le coût élevé de campagnes de communication employant des vidéos et/ou des goodies, dans un contexte économique difficile. Enfin, à la dernière place le serious gaming (3,57 %) est presque dix fois moins utilisé que son ainé l e-learning (27,68 %). Là encore, on peut penser que les contraintes budgétaires ont dû peser sur la faible pénétration de cet outil comme moyen de sensibilisation. Mais il y a fort à parier que dans les prochaines années, l usage du serious gaming va se démocratiser avec le développement de l offre. 5
Figure 1.4 : Quels supports utilisez-vous pour les actions de sensibilisation Les clés de la réussite d actions de sensibilisation Pour les répondants à l enquête, il n y a pas de secret : une action de sensibilisation ne peut réussir sans l appui du top management (78 %). Mais obtenir leur adhésion n est pas toujours chose facile. Dans un tiers des cas, ils ne sont pas motivés ou convaincus par le sujet (34 %). Heureusement tout espoir n est pas perdu, puisque le second tiers se laisse quand même convaincre en argumentant (38 %) et que le dernier tiers (27 %) est quant à lui le premier promoteur de ce type d action. 6
Figure 1.5 : Le niveau d engagement du top management dans la sensibilisation Il existe néanmoins d autres moyens pour assurer la réussite d une campagne de sensibilisation et le premier d entre eux est de mettre en situation l utilisateur afin qu il puisse toucher du doigt la réalité de la situation (42,15 %). Cette nécessité de rendre la sensibilisation la plus attractive possible se retrouve également dans la volonté des répondants d utiliser de nombreux supports (PowerPoint, affiches, conférences...) (39,67 %). Les répondants ont également conscience que les messages de sensibilisation doivent être adaptés en fonction de la population cible (36,36 %) et dépendent de l évolution de l activité/responsabilité du collaborateur (23,97 %). La sécurité est l affaire de tous et un tiers des répondants (29,75 %) pensent qu il en va de même pour le succès des actions de sensibilisation, car elles ne 7
pourraient réussir sans l appui d autres entités support (RH, communication ). Les interventions de prestataires ou d organismes externes, comme celles que peuvent réaliser la DGSI (Direction Générale de la Sécurité Intérieure, Ministère de l Intérieur) n ont pour les répondants qu un impact limité (19,01 %). De même, les crises internes ou externes (intrusion dans le système d information de l entreprise, affaire Snowden, WikiLeaks ), n ont d après les répondants (19,01 %) qu un faible impact. Enfin, 16,53 % des répondants seulement pensent que l argent est un élément essentiel dans le succès d actions de sensibilisation. Et c est là tout le paradoxe de la sensibilisation qui est considérée comme un des moyens les plus efficaces pour protéger l information et à laquelle les entreprises ne consacre en majorité qu un budget de moins de 10 K. Figure 1.6 : Les points clés pour la réussite d actions de sensibilisation 8
Quels résultats? Selon les répondants, les efforts entrepris en matière de sensibilisation ont été bien accueillis. En effet, ils ont été accueillis positivement dans 88,9 % des cas. Figure 1.7 : Accueil des utilisateurs lors des actions de sensibilisation 9