Pourquoi et comment sensibiliser les employés

Ce article reprend les points clés de ma présentation sur la sensibilisation, effectuée dans le cadre du forum ISA consacré à la sécurité des systèmes d’automatismes et de contrôle de procédé.

Il concerne la sensibilisation du personnel au sujet de la cybersécurité en environnement industriel, qui est incontournable car :

  • c’est facile
  • c’est efficace
  • c’est pas cher

Dans cet article, je développe ces trois points et donne aussi quelques clés pour réussir les sensibilisations.

Les supports utilisés durant la présentation au forum ISA sont disponibles au format PDF, mais ils ne sont pas « auto-porteurs », le texte ci-dessous reprend l’essentiel des commentaires oraux.

Pourquoi sensibiliser ?

Sensibiliser signifie rendre les employés conscients de la situation et des risques liés à la cybersécurité. C’est souvent présenté comme l’un des axes majeurs des systèmes de management de la sécurité.

A noter que le terme « cybersécurité » est utilisé ici dans le sens de la protection des actifs, de la production, des biens et des personnes contre les cyber-attaques, comme cela est utilisé dans les domaines des infrastructures critiques. C’est donc à la fois plus restrictif que la sécurité des SIs au sens général (ne prend pas en compte les pannes, erreurs…), et plus général (pas seulement protection de l’information, comme le rappelle Ralph Langer dans l’entête de son site).

Le rôle essentiel des employés dans la cybersécurité est démontré dans un récent sondage au Royaume Uni, qui montre que les employés sont la première source de menaces pour plus de la moitié des entreprises sondées. En effet, même s’ils ne sont pas forcément mal intentionnés, les employés peuvent être les vecteurs des attaques (par naïveté), voire permettre ou aggraver les impacts (par passivité et absence de repères).

Un employé averti en vaut plusieurs que ce soit pour la prévention (éviter de ramasser une clé USB, de faciliter les accès distants, de donner des droits élargis aux stagiaires), la détection (être conscient qu’un fonctionnement anormal peut être lié à un cyber-incident), et bien évidemment la réaction pour avoir quelques bons réflexes.

La sensibilisation est utile dans tous les cas, que ce soit avant de lancer un projet de sécurisation (pour préparer le terrain et baisser le niveau de résistance), ou quand il n’y a pas de budget pour mener un tel projet (la sensibilisation ne coûte pas très cher et le retour sur investissement est élevé).

C’est cité dans tous les normes de cybersécurité, mais cependant peu mis en œuvre (sondages par mes soins, non représentatif, de responsables d’entreprises), car la sensibilisation à la sécurité informatique est (apparemment) en dehors des compétences et des processus habituels dans l’industrie.

Dans l’industrie, il est facile de sensibiliser le personnel à la cybersécurité

Le titre va à l’encontre des idées reçues, mais je persiste et j’argumente : sensibiliser, en environnement industriel, est facile, pour trois raisons :

  • on ne protège pas que l’information : les sensibilisations « à la sécurité informatique » relatifs à l’utilisation des PC, clés USB etc… sont peu efficaces car les employés accordent difficilement de la valeur à l’information courante qu’ils traitent. Dans l’industrie, l’impact d’une cyber-attaque est bien plus visible les vols d’informations par les chinois : il peut s’agir de d’interruption de production, de destruction d’équipements voire d’accidents corporels. On se mobilise plus facilement contre ce type de risques,
  • des cultures sûreté et sécurité pré-existantes : en production, contrairement à l’environnement bureautique, la gestion des risques est déjà routinière, que ce soit le risque de non-qualité ou de perte de production qui ont des impacts économiques forts, ou le risque sur les biens et les personnes. Ainsi, à condition que la cybersécurité soit correctement expliquée, l’adhésion à des mesures de contrôle et limitation des risques liés aux cyber-incidents est en réalité plus facile à obtenir que dans d’autres milieux,
  • la disponibilité de nombreuses informations et supports : depuis quelques années il est facile de trouver sur internet des documents libres de droits, ou nécessitant simplement de citer les auteurs, pour se constituer un support de sensibilisation en français. Pour preuve voir le support PPT constitué pour le forum ISA, où j’ai intercalé des documents que l’on peut trouver par google, et dont j’indique les sources. Mon article sur les sources en français permet aussi d’en trouver beaucoup. [Edit 23/11/2018] Voir aussi ce document du CLUSIF qui présente et analyse deux douzaines d’incidents sur SI industriels.

Quelques points-clés pour réussir les sensibilisations

Modalités

En termes de durée, il faut le temps pour la réaliser (minimum une heure), et un peu plus si veut donner des solutions et aller au delà d’une simple sensibilisation au risque (3 heures).

Ce n’est donc pas une « formation », et peut s’inscrire dans les sessions d’accueils, réunions régulières etc… Mais ce temps court est aussi un handicap car les sociétés qui vendent des formations ne proposent pas des sensibilisations courtes, difficiles à vendre et à rentabiliser.

En termes d’intervenant, il est préférable de les faire réaliser par un permanent interne à l’entreprise, ce qui résout le soucis ci-dessus de la pénurie de prestataire extérieur. En effet, pour tirer tout le bénéfice des sensibilisations, il faut que l’intervenant puisse ensuite faire un suivi, répondre aux questions correspondant à des situations réelles, recevoir éventuellement les alertes (les gens penseront à demander son avis en cas de détection d’événement suspect), et il sera aussi ensuite le relais des éventuelles futures actions de sécurité.

Avec la médiatisation de la « cybersécurité », il est relativement facile de trouver un technicien ou ingénieur intéressé par le domaine : ce sera l’occasion de lui proposer un axe de développement pour le bénéfice de tous !

En termes de format, les sessions doivent être les plus interactives possibles : il est essentiel que les gens se sentent encouragés à intervenir et poser des questions – c’est la condition de la vraie prise de conscience, et de la baisse des résistances. Cela veut dire que l’intervenant doit être à l’aise pour animer une réunion, et notamment pour réagir correctement à des prises à partie.

On veillera dans tous les cas à adapter le nombre de participants, pour rester dans la capacité de l’intervenant (4 à 6 personnes pour un débutant, avec au moins un manager promoteur, jusque 20 personnes pour un intervenant aguerri).

On exclura donc évidemment « l’auto-formation »  (e-learning), et on préférera une session de discussion et d’explication « avec les mains » par un intervenant sachant communiquer, plutôt qu’une série de planches powerpoint avec un présentateur apportant peu de valeur ajoutée.

Contenu

Par expérience, je recommande de ne pas hésiter à « mettre les mains dans le cambouis », c’est à dire à entrer un peu dans la technique. Il faut que les gens comprennent ce qu’est une faille informatique, pour se rendre compte à quelle point il est facile d’en créer, qu’il y en a sans doute beaucoup sur les systèmes en production, et que l’exploitation de ces failles peut avoir des impacts importants. On trouve sur wikipedia une bonne explication du buffer overflow, et en cherchant un peu l’injection SQL est bien présente aussi : ce sont les failles les plus courantes à ce jour en environnement industriel.

Ensuite je recommande de présenter l’écosystème de la sécurité - les gens sont toujours intéressés de comprendre ce que sont les « hackers », les « white-hat » et les « black-hat », et la course poursuite entre l’exploitation des failles et le patching par les éditeurs.

Le sujet des patchs fait en général une bonne transition pour rappeler les contraintes du monde industriel, qui limitent la mise en œuvre des solutions auxquelles on est habitué en informatique de gestion. A ce propos, j’ai encore été récemment en réunion interpelé par un collègue qui prétendait que la sécurité informatique dans l’industrie était la même chose qu’en bureautique (heureusement il est facile de donner quelques exemples frappants pour démontrer le contraire), et en ai retenu une leçon : évitez de confier la sécurité des systèmes industriels à des gens professionnels de la sécurité, même certifiés ISO 27001 (lead auditor, lead implementor etc…) ou CISSP, s’ils n’ont pas une expérience significative de l’industrie !

Enfin,  il est important de conclure une sensibilisation en parlant des solutions concrètes que l’on peut mettre en œuvre dans l’environnement de l’entreprise. Par exemple, concernant les clés USB, les gens en auront normalement compris le risque, mais si c’est très utilisé dans les faits, on pourra donner quelques règles pratiques pour limiter le risque : parc dédié, circulation limitée, postes de détection de malveillants. Mais on rappellera aussi que l’essentiel est que les gens qui utilisent des clés USB aient conscience du risque, pour qu’elles puissent trouver et mettre en œuvre elles-même les réflexes essentiels.

Chausse-trapes

Quelques erreurs à éviter :

  • erreur de casting de l’intervenant : préférer un technicien (automaticien, maintenance…) intéressé par le sujet qu’un cadre « disponible » ou un expert en sécurité des SI de gestion – dans les deux cas ils auront du mal à gérer  les questions (et la résistance) des gens du métier,
  • exemples non appropriés : Stuxnet c’est parlant, mais en général peu pertinent dans l’environnement de l’entreprise qui, sauf exception, n’est pas la cible des gouvernements américains ou chinois. Il y a des exemples concrets (voir mon PPT), avec des erreurs ou malversations d’employés, dans des industries « normales ». On évitera aussi les « faux incidents », qui ont fait parler d’eux en 2012 et décrédibilisent le sujet (et l’intervenant), voir mon article sur le sujet. (rajout janvier 2015) Les incidents révélés fin 2014 permettent également de donner des cas réels de cyber-incidents plus proches de nous (Europe), voir l’article publié en janvier 2015.
  • absence de solution pratique : rien n’est pire que de terminer une sensibilisation avec les gens effrayés et sans solution. Il faut au moins être capable de répondre aux questions (en séance ou après), mais il est préférable d’apporter un certain nombre de réponses. L’idéal restant d’annoncer un projet de sécurisation (même modeste),
  • masse non critique des personnes sensibilisées : si seulement quelques personnes dans la masse sont conscientes du risques, elles seront marginalisées. 30% de personnes sensibilisées, dans tous les métiers, c’est bien, pour donner l’ordre de grandeur. Il faut que l’effort soit constant, répété, et que les sessions soient relativement courtes.

Conclusion

J’espère vous avoir convaincu de l’intérêt et de la relative facilité de faire des sensibilisations.

Comme toutes les actions de « sécurité informatique », il faut que ce soit inscrit dans le temps : intervenant identifié et fixe dans le temps, actions faisant suite aux sensibilisations, minimum de communication sur le sujet pour légitimer l’intervenant et les messages…

Les bénéfices arriveront au fil du temps, et outre l’impact opérationnel au sein de l’entreprise, il n’est pas exclu d’en tirer des bénéfices commerciaux – c’est d’ailleurs ce que font de nombreux constructeurs et intégrateurs qui ont mené des actions en interne : ils déclinent cela également dans leur communication et auprès de leurs clients, ce qui me semble tout à fait positif.

 

 

2 Commentaires sur “Pourquoi et comment sensibiliser les employés”

  1. Patrice Bock dit :

    Le spot a effectivement été réalisé, il est disponible ici entre autres :
    http://pro.01net.com/editorial/606100/le-spot-de-sensibilisation-a-la-securite-d-issa-france-enfin-devoile/

  2. Patrice Bock dit :

    Je ne sais pas s’ils vont suivre les recommandations de l’article, mais ce projet de spot de sensibilisation mérite le support (financier):
    http://www.kisskissbankbank.com/spot-de-sensibilisation-pedagogique-a-la-securite-en-ligne

Répondre à Patrice Bock

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.