🚨 Webinaire 17/05: Human Risk Management, bientôt la fin de la sensibilisation cyber ? S'inscrire
L’engagement est la clé d’une campagne de sensibilisation réussie. Parce qu’il s’agit de travailler sur l’humain et de changer profondément des réflexes, la sensibilisation SSI fait appel à de nombreuses ficèles qu’il faut savoir activer au bon moment. Nous vous en livrons quelques-unes.
Partons d'un constat simple et partagé : il existe dans la vie des sujets plus passionnants que la cybersécurité. Tout collaborateur qui se respecte vous dira tranquillement "La sécurité informatique ? Je sais pas moi, on a un département IT, non? Eh bien, c'est leur boulot !".
Ce sentiment bien répandu, de responsabilité non partagée face à une menace pourtant bien globale, est le premier obstacle à dépasser pour réussir une campagne de sensibilisation.
Alors quels conseils pour ne pas laisser cet écueil grever sévèrement les résultats de tous vos efforts pour sensibiliser vos collaborateurs ?
Plusieurs options s'offrent à vous :
Rendre le sujet "FUN" et sympathique, autrement dit, détourner l’attention de vos collaborateurs du côté technique de la cybersécurité, désacraliser votre objet d’étude. Le dispositif national d'assistance aux victimes de Cybermalveillance.gouv.fr propose de nombreuses ressources allant dans ce sens sur sa chaîne Daylimotion.
Un exemple qui fait sourire, mais qui a le mérite de poser la vraie question de fond des usages du numérique. Usez et abusez de ces ressources gratuites en ligne, disponibles libres de droits, pour préparer le terrain bien à amont de votre action de formation.
Vous pouvez aussi tâcher de rapprocher la cybersécurité des préoccupations quotidiennes de vos collaborateurs. En faisant le lien avec leur vie privée, vous toucherez certainement une de leurs cordes sensibles et vous leur ferez prendre conscience de l’immédiateté de la menace dans leur vie de tous les jours :
Les exemples sont nombreux et parlant pour la plupart des collaborateurs, car quasiment tout le monde à désormais une vie numérique à côté de son travail.
Troisième option : susciter des émotions. « Le cœur a ses raisons que la Raison de ne connait pas » dit l’adage.
Non il n’est pas interdit de jouer sur les émotions pour susciter le créer du mouvement ! Personne ne s’intéresse à votre sujet et vous avez l’impression de vous battre contre des moulins ?
Cessez de vous agiter. Dites peu, mais dites-le bien. La parcimonie a de nombreuses vertus. Touchez la sensibilité de vos collaborateurs. Et si on vous le reproche, invoquez tout comme en matière de RGPD, « l’intérêt légitime » de votre entreprise face à la taille de la menace cyber 😉
Trêve de plaisanterie, si vous allez sur ce terrain, il convient de se poser clairement la question : sur quelle émotion est-ce que je veux jouer ? Car vous allez donner là le ton de toute votre campagne future… Vous penchez pour la peur ?
Nous ne la recommandons pas. Excessive, galvaudé et très utilisée pour de nombreux ressorts, elle aura le défaut de créer de la résistance, plus ou moins consciente, à votre sujet.
Privilégiez des sentiments plus positifs : piquez la curiosité, cultivez l'envie d'en savoir plus, valorisez la bienveillance et la réussite en mettant en avant les héros du quotidien...
Une dernière piste à explorer (et éventuellement à additionner aux autres) : rester objectif et s'en tenir aux faits. Il y a assez d'exemples d'attaques documentées dans l'actualité, et juste à côté de nous, pour convaincre les plus cartésiens de nos collègues que la menace est à notre porte.
Piochez des exemples parlants d’attaques réussies et médiatisées, vérifiez les sources que vous citez, favorisez les sources directes d’entreprises qui communiquent ouvertement sur des Retex d’attaques.
L’hôpital de Dax par exemple a fait un effort significatif de communication et de transparence. Intéressant aussi ce récit du Maire de Douais.
Ce qui va compter, dans le choix que vous ferez du ou des exemples, va être sa proximité avec votre activité (proximité sectorielle, de taille d’entreprise, ou même proximité géographique). Afin que chacun puisse s’identifier et ne retombe pas dans le biais bien connu du « ça n’arrive qu’aux autres ».
Deuxième frein quand vous voulez lancer une sensibilisation à la cybersécurité : tout le monde est saturé par des outils numériques et personne n'a envie de suivre, de gré ou de force, un elearning de plus.
Dilemme : le format elearning est pour vous, RSSI ou DSI, la modalité la plus pratique et efficace pour toucher un grand nombre de personnes en un minimum de temps.
"Toucher"… le mot n'est pas forcément juste… il voudrait mieux dire atteindre, saisir, éveiller, voire intéresser.
Car c'est là bien tout l'enjeux d'une campagne de sensibilisation : conscientiser vos collaborateurs, leur faire saisir le rôle qu'ils ont à jouer par leur comportement.
Un elearning impersonnel est quelque peu "déshumanisé", par son côté très digital. On apprend via un écran… Où est le formateur chaleureux et enthousiaste, qui nous transmettait autrefois l'envie d'apprendre ?
Il faut réintroduire de l'humain dans votre campagne, surtout que votre but est précisément de transformer des comportements et d'agir… sur l'humain.
Incarner votre campagne devient central. L'incarner à travers l'action de vos dirigeants, qui ouvrent le sujet, portent les messages initiaux, et finalement, par leur engagement personnel, sponsorisent votre elearning.
L'incarnation peut aussi passer par la création d'une mascotte (ou la réutilisation d'une mascotte pré-existante dans votre entreprise pour des actions de communication interne). Ce personnage fictif porte alors une voix incarnée et diffuse les messages, il devient familier des collaborateurs, et dans le temps, sa simple vue provoque des réflexes "cyber".
Car on touche ici au fond du problème : une campagne de sensibilisation cyber est autant une action de formation qu'une action de communication interne. Elle fait donc appel à des savoir-faire variés.
En effet, pourquoi lancer votre campagne en interne en disant "Nous allons suivre un superbe elearning !" alors qu'en fait, vous voulez juste dire "Nous allons tous travailler collectivement sur lae mise au point de nouveaux comportements qui nous protègeront mieux des cyber-attaques" ?
Changez le vocabulaire et l'approche peut changer beaucoup de choses sur l'acceptabilité de votre action. Et donc sur son efficacité.
C'est là qu'entrent en jeu vos qualités de communiquant (ou celles du prestataire qui va vous accompagner sur le sujet).
Choisir les bons mots pour annoncer votre action et les mettre dans la bouche des bons sponsors internes : voilà déjà 50% du travail fait sur l'engagement futur de vos collègues !
Naturellement un ensemble de supports de communication, sous la forme d'un kit de sensibilisation, sera un outil très utile pour accompagner votre stratégie de communication.
Mettez entre les mains de vos collègues des outils qui vont leur servir au quotidien :
Un exemple de fond d'écran disponible dans notre kit de communication à télécharger gratuitement.
Rendez vos campagnes proches de vos collaborateurs…. Ils ne verront plus le elearning comme une contrainte supplémentaire dans leur agenda déjà surchargé… mais comme une source d'info supplémentaire.
Affiches, mini-jeux et autres ateliers d'information sont autant de modalités qu'il vous faudra alterner tout au long de l'année, pour atteindre votre résultat final : changer les comportements.
Ils viendront appuyer les messages de votre elearning, ou préparer la route à une formation plus formelle pour certains profils-métiers (notamment les développeurs, le personnel de la DSI ou encore les chefs de projet qui représentent, chacun, des maillons importants de votre défense en profondeur).
Découvrez Trivial Cyber, un mini jeu en ligne pour sensibiliser vos collaborateurs.
Au-delà de cette communication directe, il est pertinent de s’intéresser également aux techniques de nudge, aussi appelées « technique du coup de pouce ».
En termes simple, cette approche théorisée par le Prix Nobel d'économie 2017 Richard Thaler, consiste à travailler sur des images (quasi « subliminales » pour ainsi dire) pour faire adopter aux population des réflexes comportementaux.
Les exemples les plus connus sont utilisés dans des lieux publics pour inciter :
Pourquoi ne mettrait-on pas en place de telles stratégies d’influence au service de la cause cyber ?
Le but étant d’influencer subtilement le comportement face à un danger immédiat, le jeu en vaut sûrement la chandelle.
La science comportementale nous en dit beaucoup sur la complexité de notre métier : d’expert de la cybersécurité, nous sommes en train de passer à un métier de responsable communication, et peut-être même à celui de sociologue comportementaliste… trop complexe nous direz-vous ?
C’est pour cela qu’on prend le temps d’y réfléchir et d’y travailler pour vous, pour vous restituer le meilleur et vous soulager de toutes ces casquettes !
