Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , ,

security-2337429_1280

Ce n’est pas une généralité, mais souvent un bon technicien , ou un spécialiste dans sa discipline ou dans son domaine, ne sont pas forcément de bons formateurs, en particulier en termes de sensibilisation.

Le public à sensibiliser (ou à conscientiser) n’est pas constitué de collaborateurs homogènes et ils ne disposent pas d’un même niveau de compétences ou de connaissances en système d’information. D’autant plus, que certains employés (au sens large du terme) le vivront comme une contrainte ou un supplément « d’activité » non prévue initialement dans la composante de leur poste et présenteront un « frein au changement » d’attitudes en estimant qu’il existe des spécialistes dont c’est leur rôle.

Enfin, il ne faut pas négliger les faits suivants que ce soit en termes de sensibilisation ou de formation :

  1.  L’intervenant, outre le fait de posséder un certain charisme, doit proposer une présentation attrayante (l’utilisation de Powerpoint n’est pas nécessairement la meilleure solution).
  2. La présentation ne doit pas être trop courte, ni trop longue, mais adaptée à l’ensemble des participants à la session.
  3. La pratique de mini-cours théoriques, en alternance de cas pratiques exécutés par les participants, sont nécessaires dans certains contextes et types d’intervention.
  4. La nécessité d’un retour vis-à-vis du management de proximité et des ressources humaines, à l’aide d’un questionnaire synthétique, permet d’obtenir une évaluation par les participants de la formation ou de la sensibilisation réalisée.
  5. La vérification par le management de proximité, mais également par l’audit interne, de la bonne compréhension et de la réelle mise en pratique de l’acquis dans le travail opérationnel des collaborateurs sensibilisés ou formés.
  6. L’utilité, en fonction des besoins, d’effectuer des piqûres de rappel, mais aussi  des sensibilisations et des formations progressives en raison des nouveaux risques encourus et d’incidents survenus (exemples basés sur des cas concrets) au sein ou en relation avec des parties prenantes de l’entreprise.

Les professionnels des Ressources Humaines s’appuient couramment sur des spécialistes de la sécurité pour sensibiliser les employés à la sécurité. Trop techniques et peu adaptés à cette fonction, ceux-ci rencontrent souvent des difficultés pour fédérer les employés et assurer pleinement leur rôle.
Souvent, les employés ne sont toujours pas conscients de l’impact que leurs actions peuvent avoir sur la sécurité de l’information au sein de leur organisation. Le récent rapport Threat Landscape 2017 de SANS montre que les menaces les plus importantes ciblent généralement des individus précis, mais souligne également que les employés jouent un rôle clé dans la détection et la prévention des menaces. Il est d’ailleurs encourageant de constater que de plus en plus d’organisations reconnaissent que la sensibilisation à la sécurité contribue à mettre en place un « pare-feu humain » solide et investissent dans une stratégie de sensibilisation à la sécurité.
Ainsi, de plus en plus d’organisations investissent désormais dans la gestion du risque humain, notamment en recrutant ce que beaucoup appellent un Security Awareness Officer, un Security Communications Officer ou un poste lié à la formation ou à la culture en matière de sécurité. http://www.economiematin.fr/news-rh-entreprises-cybersecurite-sensibilisation-salaries

 

A consulter également :

Les superviseurs bancaires commencent à s’intéresser au cyberrisque

Comment fédérer les énergies des fonctions de contrôle en entreprise dans une approche à forte valeur ajoutée?

Positioning risk management to succeed — Norman Marks on Governance, Risk Management, and Audit

L’humain, le maillon faible de la sécurité des entreprises