La sensibilisation et la formation
 

En quelques mots

La sensibilisation et la formation font partie intégrante de la gestion des risques. Sans une communication efficace des risques, donc des menaces, vulnérabilités et impacts ainsi que des mesures de sécurité mises en place, chaque membre de l'organisation devient un danger potentiel pour les données de l'entreprise.
Les exigences par rapport au comportement des employés varient en fonction de plusieurs facteurs:

La formation et la sensibilisation ont pour but de faire adopter aux employés de l'organisation le comportement adéquat. Pour réussir dans cette opération, il faut mettre en place des formations ainsi que des campagnes de sensibilisation régulières.
Les différents niveaux de connaissance qui peuvent être atteints lors d’une formation sont définis comme suit :

  • Sensibilisé : le participant connaît et comprend des notions de base

  • Familiarisé : le participant disposer d’un savoir-faire qui peut être utilisé dans des situations standard.

  • Maîtrise : le participant dispose d’un savoir-faire qui peut être utilisé dans des situations complexes

La sensibilisation

La sensibilisation sert à rendre les employés d'un organisme plus attentifs vis-à-vis de problèmes. Elle peut changer des comportements mais ne doit pas être confondue avec la formation qui cherche à transférer du savoir-faire détaillé.
Certains exemples de sensibilisation sont :
La sensibilisation se fait également par des moyens de communication rappelant aux utilisateurs la conduite à tenir pour protéger l'information :

  • la diffusion de notes internes, bulletins d'information, vidéos ou livrets de sécurité ;

  • l'utilisation de posters, tapis de souris et affiches ;

  • l'utilisation de moyens techniques tels que des écrans de veille, voir des fonds d'écran portant un message sur la sécurité.

La volonté de sensibiliser les utilisateurs se traduit par un plan de sensibilisation continu, sur plusieurs années. Pour cela, il faudra prendre en compte plusieurs paramètres :

  • Le bien-fondé des mesures de sécurité,

  • L'attractivité et l'efficacité du message et du média utilisé ;

  • Des points permettant de mesurer l'efficacité du plan de sensibilisation.

Les campagnes d'affiches

Des campagnes d'affiches sont des campagnes de sensibilisation qui peuvent rappeler des consignes, respectivement attirer l'attention des employés à des problématiques spécifiques. Elles peuvent aussi être organisées en formes de "teaser" et précéder une campagne de sensibilisation réalisée en forme de présentation.

Exemples d'affiches




 

La formation

L'individu n'applique que les règles qu'il connaît. Il convient donc de former le personnel aux règles comportementales, organisationnelles et techniques indispensables à la sécurité des données informatiques, dans le but de :

  • Transmettre aux utilisateurs les connaissances de base pour assurer la protection des informations dans les situations les plus courantes ;

  • Induire chez les utilisateurs des réflexes de protection et les convaincre de l'utilité de ces mesures, même si elles peuvent paraître contraignantes et fastidieuses ;

  • Montrer la conduite à exercer en cas de doute, dans des situations particulières ou lors d'incidents liés à la sécurité de l'information.

Les formations demandent une participation active des employés et requièrent souvent un formateur. Les formations au sein d'une organisation doivent faire partie d'un processus continu. Il faut au moins penser à une formation initiale lors de l'embauche des nouvelles recrues.

La formation initiale

Une des formations initiales pour le personnel peut avoir le contenu décrit ci-dessous. Chaque formation doit cependant être adaptée aux différents besoins spécifiques des participants. Certains ont des besoins plus spécifiques:

Les formations CASES sont des présentations ou démonstrations qui ont pour but d'éveiller la conscience des employés à la sécurité de l'information. Le formateur, un expert, transfère le savoir-faire via une multitude d'exemples et répond à toutes les questions spécifiques posées lors du cours.
La formation de base ci-dessous dure 3 heures et peut être réalisée dans vos locaux. Pour des spécificités, veuillez s.v.p. consulter my.cases.lu

 

Savoir

Savoir-faire

niveau

1

Notion du risque

Savoir ce qu’est une menace, une vulnérabilité et un impact.

Familiarisé

2.

Les Vulnérabilités

Savoir distinguer entre différents types de vulnérabilités

 

2.1.

Vulnérabilités humaines

Connaître les différents types de vulnérabilités humaines

Familiarisé

2.2.

Vulnérabilités techniques

Présenter les vulnérabilités techniques

Sensibilisé

3.

Les menaces

Reconnaître les menaces en découvrant quelles vulnérabilités ils essayent d’exploiter.

 

3.1.

Les codes malicieux

Comprendre les différences entre les trois types de codes malicieux

Familiarisé

3.1.1.

Les virus

Comprendre que les codes malicieux de type virus exploitent des vulnérabilités humaines.

Familiarisé

3.1.2.

Les vers

Comprendre que les codes malicieux de type ver exploitent des vulnérabilités techniques.

Familiarisé

3.1.3.

Les chevaux de Troie

Comprendre que les codes malicieux de type chevaux de Troie exploitent des vulnérabilités humaines et sont destinés à l’espionnage.

Familiarisé

3.2.

La motivation derrière les menaces

Sensibiliser les agents au fait que les menaces sont bel et bien réelles, montrer les motivations des attaquants et de potentielles cibles d’attaques.

Sensibilisé

3.3.

Le spam

Reconnaître un spam et savoir quel type de vulnérabilité humaine il exploite.

Familiarisé

3.4.

Le spam ciblé

Sensibiliser les agents au fait que des attaques ciblées par courrier électronique existent. Faire le lien avec les réseaux sociaux.

Sensibilisé

3.5.

Phishing

Reconnaître des attaques de type phishing. Connaître les trois indicateurs

Familiarisé

3.6.

L’économie parallèle

Sensibiliser à l’économie parallèle, afficher les investissements nécessaires pour montrer l’omniprésence de la menace

Sensibilisé

3.7.

La sécurité physique

Comprendre les aspects liés à la sécurité physique

Sensibilisé

3.7.1.

L’accès physique

Les conséquences liées à l’accès physique

Sensibilisé

3.7.2.

Gestion des visiteurs

Savoir gérer les personnes inconnues

Sensibilisé

3.7.3.

Interception à l’imprimante

Reconnaître les dangers liés à l’impression de documents sensibles

Sensibilisé

3.7.4.

Le recyclage de papier

Reconnaître les dangers liés au recyclage de papier (préférer l’utilisation de broyeurs avant recyclage)

Familiarisé

3.7.5.

Les outils à disposition de la menace

Sensibiliser au fait que les outils destinés à l’espionnage sont abordables et que la probabilité d’utilisation de tels outils est haute

Sensibilisé

3.8.

L’ingénierie sociale

Reconnaître une attaque de type ingénierie sociale. Savoir minimiser les vulnérabilités qui peuvent mener à une telle attaque

Familiarisé

3.9.

Les métadonnées

Comprendre les dangers des métadonnées contenues dans les fichiers office et open office

Sensibilisé

3.10.

Les métadonnées

Comprendre les dangers des métadonnées contenues dans d’autres types de fichiers tels que les images

Sensibilisé

4.

La prévention et la protection

La protection est transposée par le comportement correct des utilisateurs ainsi que par des mesures organisationnelles et techniques

Sensibilisé

4.1.

L’authentification

Comprendre les trois façons d’authentification. Expliquer la valeur ajoutée de LuxTrust

Sensibilisé

4.2.

Les mots de passe

Expliquer en détail la gestion correcte des mots de passe

Familiarisé

4.3.

Les différents types de comptes utilisateurs

Comprendre l’importance de travailler avec des comptes de type standard et non administrateur

Familiarisé

4.4.

Les mises à jour automatiques

Comprendre l’importance des mises à jour automatiques du système d’exploitation et des logiciels

Sensibilisé

4.5.

L’anti-virus

Comprendre l’importance mais aussi les limites des logiciels anti-virus

Sensibilisé

4.6.

Pare-feu

Comprendre l’importance mais aussi les limites des pare-feu

Sensibilisé

4.7.

SSL

Comprendre la nécessité de chiffrer les communications avec un serveur web (SSL), surtout dans un contexte professionnel ou commerce électronique

familiarisé

4.8.

Communication

Comment communiquer. L’utilisation de plusieurs canaux de communication en parallèle pour augmenter la sécurité. Sensibiliser aux risques liés aux différents canaux de communication, surtout ceux liés au courrier électronique - bonnes pratiques

Sensibilisé

4.9.

Sécurité lors des voyages

Sensibiliser aux risques liés à l’espionnage lors de voyages de service. Un support spécial est distribué

Sensibilisé

4.10.

Téléphones mobiles

Sensibiliser aux besoins de sécurité avant déploiement de téléphones de type smartphone

Sensibilisé

5

La législation

Sensibiliser sur les différents articles du droit pénal couvrant les infractions liées aux systèmes d’information

Sensibilisé