Que ce soit pour vous conformer aux lois et normes qui régissent votre secteur ou parce que vous souhaitez instaurer de bonnes pratiques à l’interne… n’attendez pas qu’un incident survienne pour sensibiliser vos employés à la sécurité de l’information et à la protection des données.
Bien sûr il n’y a rien de simple au fait de changer des habitudes bien ancrées. Peu importe si la personne tente d’arrêter de fumer, de perdre du poids ou d’adopter de nouvelles habitudes cybersécuritaires, elle parcourra assurément les cinq étapes du processus de changement de comportement1. Voici comment ces différentes étapes se traduisent dans le cadre de l’implantation d’une campagne de sensibilisation à la sécurité de l’information et comment, vous en tant que responsable de la sécurité des systèmes d'information pouvez accompagner vos employés à travers chacune d’elles.
1) L'inaction
À ce moment, vos employés ne sont pas encore conscients du changement à faire. Leurs habitudes actuelles leur conviennent parfaitement. C’est le moment idéal pour mesurer leur niveau de vulnérabilité en créant une simulation d’hameçonnage. Envoyez-leur des courriels à l’allure frauduleuse et voyez en un seul coup d’œil et en temps réel qui ouvre le courriel et la pièce-jointe, et qui clique sur le lien. La plateforme Terranova Phishing Simulation est l’outil idéal pour tester la capacité des employés à identifier les courriels frauduleux et les tentatives d’hameçonnage.
2) La prise de conscience
À cette étape, toute information peut aider l’employé à se sensibiliser et à concevoir l’importance du changement à réaliser. À l’aide d’une page de sensibilisation, démontrez-lui instantanément les indices qui auraient dû attirer son attention sur la fraude potentielle. Vous pouvez aussi le diriger vers la capsule de formation appropriée et lui montrer, en mode juste-à-temps, les bonnes pratiques à adopter.
3) La préparation
À l'étape de la préparation l’employé est convaincu du bien-fondé de faire le changement. C’est le moment de lancer votre campagne de communication. Ainsi vous pourrez mobiliser et informer vos employés sur ce qui s’en vient et sur l’importance d’adopter des comportements sécuritaires. Ensuite, passez à l’action en implantant votre programme de sensibilisation à la sécurité de l’information. Une formation en ligne très interactive incluant des mises en situation, des bonnes pratiques, des exercices et des quizz sont d’excellents moyens. Allez-y de façon autonome ou laissez-vous guider par une équipe multidisciplinaire qui vous mènera au succès de votre campagne, et ce en s’adaptant aux différents risques présents dans votre entreprise ou votre industrie.
4) L'action
À l'étape de l'action la personne adopte les comportements et les attitudes souhaités. Cette étape requiert beaucoup de temps et d’énergie. L'aide apportée à cette étape est donc cruciale. Des outils de renforcement tels des infolettres, des affiches et même des jeux et des concours entre départements peuvent être d’excellentes initiatives pour mobiliser encore davantage les employés à prendre en main leur apprentissage.
5) La consolidation
Félicitations! Vos employés ont réussi à apprendre le bon comportement. Mais peuvent-ils le mettre en pratique?
C’est bien d’implanter de nouvelles pratiques et de nouveaux comportements, mais il ne faudrait pas oublier de mesurer l’ampleur du changement et l’efficacité de votre campagne.
Dès le départ, vous avez mesuré le niveau de vulnérabilité de vos employés en leur envoyant des courriels à l’allure frauduleuse. Vous pouvez maintenant mesurer le progrès fait par vos employés en leur acheminant une seconde simulation. En variant le niveau de complexité des simulations vous vous assurez que les apprentissages sont mis en pratique au quotidien. En analysant vos résultats à l’aide des tableaux de bord et des rapports détaillés vous aurez la possibilité de comparer vos campagnes entre elles. C’est en répétant chacune des étapes que vous pourrez constater un réel changement de comportements auprès de vos employés.
Bon succès!
1 Un modèle très couramment utilisé pour décrire les cinq étapes du processus de changement de comportement est celui des psychologues James Prochaska et Carlo DiClemente.