Alphabétisation numérique: accompagner les utilisateurs (2ème partie)

Dans la première partie, Fabien Leimgruber nous a parlé de la politique de cybersécurité au sein du CICR. Dans ce deuxième et dernier volet, nous nous sommes attardés sur la structure mise en place par le CICR pour sensibiliser ses collaborateurs aux cyberrisques.

Pourquoi n’avoir pas rattaché votre fonction au service IT ?

« Parce qu’il est hybride. Mon travail « mord » à la fois sur la protection des données, la communication et la cyber sécurité. Face aux collaborateurs, ce positionnement permet un meilleur contact avec nos collègues. Je dois coordonner, sensibiliser, former, présenter et écouter. »

Pouvez-vous préciser pourquoi ?

« Si vous rencontrez des équipes en émanant de l’IT avec un message portant sur la cybersécurité, il est probable que votre discours soit moins efficace. « Ah c’est de la cyber, donc c’est de l’IT or on a un firewall et un antivirus, etc…. donc tout est sous contrôle ». Alors que le but recherché est d’associer le personnel au développement de la cybersécurité en adoptant un comportement prudent face à l’usage de l’informatique. Les cyber criminels font preuve d’une imagination sans limite, ne dorment jamais ou presque et essaient sans cesse. Se cantonner à de la formation IT serait donc largement insuffisant. »

Quels ont été vos défis en dehors du numérique ?

« La première tâche a consisté à s’adresser aux équipes du siège puis à celles à l’étranger. Un message « top – down » du cœur vers la périphérie sera perçu différemment ici à Genève qu’en Afghanistan ou en Syrie. Comment surmonter cet écueil ? Ma première idée fut de recourir à du e-learning : on installe, on développe, on déploie et tout le monde s’y met. Or, les illustrations habituelles représentant des personnages en costume 2 pièces derrière le bureau peuvent passer ici à Genève. Ailleurs, les équipes locales ne s’y retrouveraient pas.

Face à cette problématique le CICR a élaboré sa propre solution d’e-learning afin d’intégrer l’aspect culturel et local dans ses modules de formation. Toutefois, comme cette approche ne permettait pas de traiter toutes les questions de cyber sécurité, nous l’avons complété par des formations dites face-à-face. Ici, on insiste sur le saut qualitatif entre le e-learning et une formation pour laquelle le formateur rencontre les équipes et à qui on offre l’opportunité et le temps de les écouter et de répondre à leurs questions. Les deux approches étant bien évidemment complémentaires, souvent indissociables même. »

Auriez-vous pu externaliser la formation ?

« En théorie, bien sûr. Dans la pratique, non. Et cela tient à la cybersécurité en elle-même. Elle implique de la confiance ainsi qu’une forme de proximité. Admettre que vous avez été victime d’une « sextorsion » n’est pas évident. Ou encore que votre passe soit 123456, non plus. Ici, la relation de confiance est essentielle. Alors bien sûr, vous pouvez adopter le point de vue opposé : on se confesse plus facilement à quelqu’un d’extérieur à l’entreprise, c’est vrai. Ici, le choix s’inscrit également dans notre culture d’entreprise. Nous voulions humaniser l’informatique, en donnant une voix et un visage qui soient issus de l’interne. Ici, nous agissons en amont. Plutôt prévenir que guérir.

Un troisième axe repose sur l’intranet, au travers de l’utilisation d’une communauté sur la cyber sécurité, et en cas de nécessité, nous informons les équipes concernées lorsque nous sommes exposés à des menaces et des attaques. Nous utilisons aussi ce canal pour promouvoir nos activités. Cela dit publier ne garantit pas la réception du message (a-t-il été lu, ou même bien vu ?) de même que sa bonne compréhension. »

Photo de Fabien Leimgruber, chief awareness manager au CICR, Genève
Fabien Leimgruber sensibilise ses collègues au CICR au virage numérique et aux cyberrisques.

Digitalisation rime avec sensibilisation, prescription et formation

Ce point constitue sûrement la pierre angulaire du système mis en place par le CICR. Publier l’information (c’est-à-dire la diffuser et l’informer) est nécessaire mais trop souvent insuffisant. La communication s’appuie notamment sur le support informatique ; en effet, il est en contact direct avec les équipes à travers le monde. Sur lui repose la crédibilité de la politique sécuritaire puisqu’il constitue le point d’entrée. Il s’agit de pouvoir orienter de manière compétente et efficace le collaborateur CICR dès la première prise de contact après son recrutement. Les équipes de support sont donc associés de manière plus étroite à la formation numérique.

Pour le support IT, s’agit-il d’un nouveau métier du numérique?

« En quelque sorte, oui. S’ils ne sont pas des néophytes en la matière – ils sont issus de l’informatique, rappelons-le! – , la sensibilisation du personnel aux enjeux des risques liés au numérique, implique un nouveau catalogue de réponses et une manière différente de communiquer: Il s’agit désormais d’écouter, de comprendre, d’expliquer et parfois même de rassurer. »

Quid de la formation de type « gamification » ?

NB: gamification ou ludification en français : « augmenter l’acceptabilité [de nouvelles normes, méthodes ou règles] en s’appuyant sur la prédisposition humaine au jeu.
Source : Wikipedia, 2019.

« Bien sûr. Elle fait partie intégrante de notre programme de sensibilisation. Nous avons débuté par les mots de passe (composition, renouvellement), les faux sites web ou encore nous avons eu recourt à une fausse campagne de phishing. Mais qui dit jeu, dit cadeaux bien-sûr ! Comment récompenser ? Après réflexion et compte tenu de différentes contraintes logistiques, nous avons opté pour du … chocolat. C’est suisse, ce n’est pas onéreux, c’est apprécié, c’est connu mondialement, cela fait plaisir. Et pour développer une « communauté », nous avons demandé aux heureux et heureuses gagnants de se prendre en photo et de nous les partager. Ce qu’ils ont faits et continuent encore de faire aujourd’hui. Nous avons trouvé un moyen simple de fédérer et fidéliser nos délégations à travers le monde autour du thème de la cybersécurité. »

Avez-vous aussi utilisé d’autres moyens ?

« Le succès remporté a ainsi motivé le CICR à élaborer une campagne « cybersécurité » avec un thème par semaine sur une durée d’un mois. Chaque activité se déclinera soit sous la forme d’un atelier, soit d’une conférence ou tout autres formats ce qui nous semblera adapté pour améliorer notre cyber-résilience aux vulnérabilités numériques. Les sujets traités pourraient très bien être : comment utiliser un gestionnaire de mots de passe ? * que signifie crypter une clef USB ? Etc. »

L’enjeu de ces semaines dédiées à la cybersécurité porte naturellement sur la transmission de ces compétences au sein de toute l’organisation. Et cet aspect a requis la mise en place de relais internes, distincts du service de support IT. Ces interlocuteurs doivent être autonomes (en termes de connaissances) et physiquement présents dans les régions qu’ils couvrent. Ce travail de recherche de profils et de sélection se déroule en ce moment même. Précisons que ces personnes ne sont pas forcément des informaticiens ….

Mais qu’en est-il alors des compétences ?

« Ils seront naturellement formés pour remplir leur mission. Il n’est pas nécessaire de disposer d’un doctorat en cybersécurité pour accomplir cette tâche. D’où l’intérêt que notre département ne soit pas rattaché à l’informatique ; nous sommes friands de « geeks » car on les trouve au service juridique, logistique, etc. Ces personnes sont ainsi d’autant plus crédibles au sein de leur environnement professionnel direct. De surcroît, ils sont perçus par leurs collègues comme de simples utilisateurs de l’IT et non comme des techniciens hyper-spécialisés. »

Le CICR n’a pas l’opportunité de tout décentraliser : avec une présence dans près de 90 pays et fort de quelques 19’000 collaborateurs/-trices, il est impératif de tenir compte des particularités locales ; les cultures sont différentes et la façon de faire passer un message l’est aussi d’un contexte à un autre. Gardons à l’esprit que sensibiliser les équipes signifient expliquer, écouter, attirer l’attention et bien sûr former. Ces activités sortent largement du spectre de l’informatique pur et dur. Cela dit, Fabien Leimgruber rappelle que ce qui compte sont les messages-clefs, la façon de les faire passer relève de l’expertise locale.

Avez-vous rencontré des résistances de la part des « antennes locales » ?

« Oui, bien sûr car certains relais ne se sentaient pas à l’aise dans ce rôle associé au numérique, estimant ne pas avoir les compétences nécessaires. Et ce constat nous a amenés à créer des tandems : un communicateur et un technicien (généralement le responsable régional) ce qui a eu pour effet de rassurer les relais. Cette approche nous permet de rester très réactif et d’encourager la collaboration entre collègues, qui d’habitude, ne travaillaient pas ensemble. »

« La transformation numérique entre dans les foyers »

Avant l’apparition d’internet, les délégués communiquaient principalement avec leurs proches par téléphones et par courrier postal. Aujourd’hui, cela se fait à travers les réseaux sociaux, les systèmes de messageries gratuites (Outlook, Gmail, Yahoo), les applications pour smartphone Snapchat, Instagram, Whatsapp, ect. Nos efforts de sensibilisation se muent alors en formation non plus uniquement pour nos délégués mais également pour leur famille. Cela constitue une formidable source de motivation. Et Fabien Leimgruber de rappeler: « Notre but est de faire évoluer le comportement de nos collègues face aux risques de cybersécurité, d’adopter des attitudes prudentes et responsables avec la multitude d’outils numérique disponibles ».

« Occuper une telle fonction requiert en conséquence des talents d’orateur, de communicant, sans oublier de l’imagination car il faut sans cesse remettre le métier sur l’ouvrage et constamment se réinventer. Trouver de nouvelles approches pour rendre attentif le personnel aux risques et aux conséquences d’une cyberattaque et devenu indispensable. »

Information Security Awareness Adviser, une sorte des Sisyphe des temps modernes ?

« Oui mais sans l’aspect punitif**! La créativité des hackers, le renouvellement de nos équipes et l’évolution des technologies fait que mon métier a – hélas – de beaux jours devant lui ! »

* Une solution de gestion de mot de passe est un logiciel, souvent gratuit que l’utilisateur installe sur son ordinateur et qui lui permet de générer de manière aléatoire et fiable des mots de passe robustes ; ils permettent aussi de stocker dans un « coffre » virtuel sur son poste de travail l’ensemble des mots de passe. Keepass est l’un des plus connus. La force de ces solutions est que l’utilisateur est le seul à connaître le mot de passe unique accédant à son coffre.

** Sisyphe est surtout connu pour son châtiment consistant à pousser éternellement une pierre au sommet d’une montagne, d’où elle finit toujours par retomber. » (source : wikipedia).

No Comments

Laissez votre avis

Autres articles du blog