Selon une étude réalisée en septembre par Arthur Andersen, auprès des directeurs informatiques et/ou responsables sécurité des systèmes d’information de 90 entreprises, intitulée «La sensibilisation...

Selon une étude réalisée en septembre par Arthur Andersen, auprès des directeurs informatiques et/ou responsables sécurité des systèmes d’information de 90 entreprises, intitulée «La sensibilisation des collaborateurs à la sécurité des informations», 79 % des personnes interrogées estiment le degré de sensibilisation dans leur entreprise «peu élevé» et même «inexistant». Le «virus informatique» marque les utilisateurs. Tout le monde comprend cette symbolique du «virus», par analogie au milieu médical. Il faut se «protéger» des virus par un anti-virus et éviter tout comportement pouvant le propager. L’utilisateur prend conscience de la problématique de la protection des données. Les produits de sécurité sont tous aujourd’hui «orientés utilisateurs». Une différence ressort entre le caractère prioritaire de la sensibilisation et la mise en pratique de celle-ci. 74 % des personnes ayant organisé une campagne de sensibilisation il y a moins d’un an, estimaient que la sensibilisation était une action prioritaire, contre 52 % des personnes n’ayant jamais eu de campagne de sensibilisation. 39 % des personnes interrogées déclarent «n’avoir jamais réalisée de campagne» ou en avoir réalisée une «il y a plus de 3 ans». Pour 28 % des personnes, le dernier/prochain lancement d’une campagne de sensibilisation était/sera dû à un audit, 24 % à un sinistre/incident, 23 % à une volonté de la direction générale. Toutes les catégories de personnel d’une entreprise peut être plus ou moins sensibilisé ou facile à sensibiliser. Catégorie à part, le top-management peut être le plus sensible à la sécurité de l’information, ou à l’extrême, le moins sensible. 25 % seulement des personnes interrogées estiment que le top-management est le mieux sensibilisé. 65 % des personnes estiment que les cadres dits «techniques», dont le métier est le plus proche des technologies de l’information, sont les plus sensibilisés. 2 % seulement des personnes interrogées pensent que les cadres «non techniques», regroupant toutes les autres fonctions de l’entreprise, sont les plus sensibilisés. Ce sont pourtant ceux qui sont le plus confrontés aux deux problématiques, celle de la sécurité informatique (autour de l’ordinateur) et celle de la sécurité du système d’information (autour de l’information). Pour 45 % des personnes interrogées, le personnel non-cadre (techniciens, administratifs …) est la catégorie de personnels la moins sensibilisée. Une sensibilisation spécifique doit être dispensée aux secrétaires, celles-ci ayant en effet accès à la majorité des informations de l’entreprise. Il est absolument primordial d’avoir un soutien très fort de la direction générale, cible première et prioritaire du responsable sécurité. L’étude fait ressortir un soutien nettement insuffisant aujourd’hui (6 % seulement de soutien très fort). Facteur clé du succès: commencer à sensibiliser la direction générale avant de s’occuper des autres collaborateurs. 28 % des personnes interrogées choisissent la formation comme premier support pour faire une sensibilisation, 25 % préfèrent les conférences et discours, 21 % privilégient l’utilisation de supports multimédia (intranet, CD-Rom …). De nombreux autres supports peuvent être envisagés. Leurs avantages et inconvénients respectifs doivent être pris en compte en fonction des objectifs de la campagne, du contexte de chaque entreprise et de chaque typologie de cible. Pour 83 % des personnes interrogées, une campagne de sensibilisation doit être annuelle, voire bi-annuelle. Cette réponse est à rapprocher des 39 % de personnes n’ayant réalisé aucune action depuis 3 ans … Les budgets «sécurité» dédiés à la sensibilisation de l’entreprise sont quasi inexistants, alors que selon le panel interrogé, ils devraient atteindre un peu plus de 10 % du budget sécurité global. Selon les conclusions de cette étude, tous les aspects liés à la gestion de l’information, quel que soit son support, doivent être pris en compte par la campagne de sensibilisation à la sécurité des systèmes d’information. Les problématiques de sécurité physique, logique et organisationnelle rentrent en ligne de compte et sont interdépendantes. Une campagne de sensibilisation est propre à chaque entreprise. Il est nécessaire du faire du «sur-mesure». La sensibilisation doit être accompagnée d’une réflexion d’ensemble sur la cohérence des mesures de sécurité et sur la manière dont elle doit être mise en application. Enfin, la sensibilisation doit englober l’ensemble des personnels de l’entreprise. (Christine Weissrock – Atelier BNP Paribas – 28/11/2000)