L’objectif de cette démarche est de rendre les utilisateurs des équipements informatiques (serveurs, postes de travail…) responsables de leurs activités dans le cadre de l’utilisation de l’outil informatique, de les former aux pratiques correctes dans l’objectif de changer leur comportement vers plus de sécurité. La sensibilisation consiste à préciser que la sécurité est l’affaire de tous. Une bonne politique de sécurité doit être comprise et appliquée par tout le personnel. La plus grande partie des brèches de sécurité sont le fait d’ignorance ou d’intentions frauduleuses (vol de données et transfert par Internet). ISC Solutions met, entreprise informatique à Aix-en-Provence met tout en œuvre pour sensibiliser un maximum d’entreprise et leurs employés aux bonnes actions à adoptés sur les systèmes informatiques de l’entreprise.
La sensibilisation consiste en deux points principaux : la formation et l’éducation.
Ils ont pour objectifs :
• D’améliorer le comportement des personnels sur les postes de travail.
• De développer la responsabilité des personnels lors de l’utilisation des matériels et logiciels mis à disposition.
• De réduire les erreurs et omissions.
Voici les trois étapes qui vont vous permettre de sensibiliser à la sécurité dans l’entreprise
La sensibilisation
Son objectif consiste à stimuler et à motiver les utilisateurs vers les bonnes pratiques qu’il s’agit de leur rappeler périodiquement. La répétition de ces conseils peut leur permettre de prendre en compte sérieusement la sécurité dans leur environnement de travail.
Les règles édictées peuvent prendre plusieurs formes selon les personnels à qui elles s’adressent. La sensibilisation doit être adaptée au public concerné (tous niveaux de responsabilités, administrateurs techniques, développeurs…).
Parmi les conseils de base à donner aux utilisateurs, les idées suivantes peuvent être proposées :
• Lors de la réception de messages (e-mail), se méfier de tout ce qui incite à donner des informations confidentielles. Cela peut être des renseignements personnels (code de carte de crédit, données bancaires…) ou professionnels (environnement de travail…).
• Il est conseillé de vérifier la provenance de tout lien (http ou e-mail) intégré dans un message. Se méfier aussi des pièces jointes. En cas de doute, la meilleure solution est de supprimer ce message et d’avertir le responsable informatique.
• Ne pas modifier ou supprimer les outils de sécurité installés sur les postes par l’administrateur ou le responsable informatique.
• Bien vérifier à qui vous diffusez votre adresse de messagerie.
Chaque utilisateur doit, en priorité, connaître les règles de prudence minimales.
Le comportement
L’attitude des personnels est prépondérante dans la sécurité des systèmes informatiques et les ressources qui traitent des informations.
D’après les statistiques, il s’est avéré que les menaces internes sont plus importantes que celles qui viennent de l’extérieur de l’entreprise.
Les actions humaines prennent une plus grande part dans les pertes relatives au système d’information que les autres sources, toutes menaces confondues.
Les causes les plus importantes de pertes causées par les employés dans le cadre de leurs fonctions peuvent provenir d’erreurs et omissions, de fraudes, d’actions d’employés insatisfaits.
Les fraudes et activités non autorisées provenant d’employés mécontents peuvent ainsi être réduites en augmentant la connaissance des employés en ce qui concerne les accès et les pénalités associées aux actes malveillants.
Le renforcement de la politique de sécurité est un des problèmes critiques qui doit être implémenté et renforcé à l’aide de programmes de formation.
Il ne faut pas s’attendre à ce que les personnels suivent les procédures s’ils n’ont pas été auparavant informés. De plus, renforcer les pénalités ou sanctions peut être difficile si les utilisateurs démontrent leur ignorance quand ils ont agi de façon erronée.
Beaucoup d’entreprises prévoient une charte de bonne conduite dans l’utilisation de l’outil informatique qui indique que les personnels ont lu et compris les informations sur la sécurité informatique.
Du point de vue de l’usage des appareils mobiles, il est aussi nécessaire de sensibiliser les utilisateurs sur les risques inhérents au fait d’être connectés en permanence avec des appareils fonctionnant avec des réseaux sans fil.
Si ces personnels ne sont pas conscients des risques encourus et ne gèrent pas la sécurité des appareils placés sous leur responsabilité, aucune autre mesure correctrice ne pourra éviter des conséquences néfastes.
La charte de bonne conduite
En plus de présentation au personnel, la sensibilisation débute généralement par l’acceptation d’une charte. Les responsables de l’informatique d’une entreprise, pour garantir la protection du système d’information par rapport à leur personnel interne peuvent être amenés à présenter un document qui servira d’accord sur les principes de bonne utilisation de l’outil informatique. Ce qui implique que les personnels aient lu et compris les recommandations sur la sécurité informatique.
La mise en place d’une telle charte permet d’assurer la protection du système d’information et s’applique à tous les utilisateurs. Ce document pourra être disponible sur le ou les sites de l’entreprise et sous plusieurs formes. Il résume les droits et devoirs des utilisateurs du système d’information de l’entreprise :
• Intégrée au règlement intérieur.
• Note interne mise à disposition pour le personnel interne ou présentée à toute personne d’entreprise sous-traitante.
• Sous forme papier ou envoyée sous forme électronique aux utilisateurs (nécessité de rappel), accessible à partir du serveur web interne de l’entreprise ou de l’intranet.
Ce document doit définir clairement et de façon transparente les modalités et limites de l’utilisation des moyens informatiques mis à la disposition du personnel par l’entreprise. Les sujets suivants peuvent être traités :
• L’accès et l’usage des ressources informatiques et aux services Internet.
• Les règles d’utilisation des ressources mises à disposition, la sécurité.
• Les règles de confidentialité imposées par l’entreprise.
Une sensibilisation à la sécurité informatique, bien élaborée et appliquée, à destination des utilisateurs peut amener des avantages indirects sous forme d’amélioration globale de la gestion du système d’information puisque le nombre d’incidents tendra à diminuer.