Dans notre précédent article sur les problématiques du responsable informatique en PME, nous avons évoqué le point de la formation des utilisateurs. Selon nous, formation et prévention sont effectivement indissociables de la performance d’un système d’information. Une position dans laquelle l’ANSSI nous conforte, puisque selon l’Agence nationale de la sécurité des systèmes d’information, 80% des problèmes informatiques dans les entreprises seraient aujourd’hui liés au facteur humain. Pour répondre à cette problématique, il est donc impératif que les utilisateurs disposent des compétences adéquates en matière de sécurité informatique et d’utilisation de leur SI. Mais alors comment s’y prendre ? Voici 3 éléments de réponses qui vous aideront à mettre en œuvre une stratégie de formation efficace.
1. La formation et la prévention des utilisateurs doivent devenir les missions principales du responsable informatique
Premier point qui ne devrait pas vous surprendre : le travail de formation et de prévention demande beaucoup de temps. Pourtant ce travail est rarement prioritaire dans l’agenda souvent surchargé du RI. Dans une PME, ce dernier passe en effet l’essentiel de son temps à « faire du correctif » auprès de ses collègues utilisateurs, souvent mal formés à l’utilisation du SI. Un cercle vicieux qu’il est néanmoins possible de transformer en cercle vertueux.
La formule est simple…
Allouer un maximum de temps à la formation de vos utilisateurs = faire monter en compétences vos utilisateurs = Améliorer significativement de la sécurité informatique de votre entreprise.
…L’exécution un peu moins
La première difficulté de cette démarche est qu’elle demande parfois un virage à 180° au niveau de la stratégie de management du SI, avec notamment une révision importante de la fiche de poste du RI. Deuxième difficulté, une telle stratégie nécessite une adhésion et une implication totale de tous les utilisateurs. Puisque l’objectif est de viser une gestion/maintenance partagée du SI entre le RI et les utilisateurs, chaque utilisateur devient donc de fait « responsable du SI » à son niveau. Mais comment être certain que chaque utilisateur accepte de jouer le jeu ? C’est ce que nous verrons un peu plus loin.
Quid des autres missions du RI ?
A partir du moment où le responsable informatique consacre la majeure partie de son temps à des actions de formation/prévention, qui s’occupe de la maintenance opérationnelle et de l’optimisation du SI ?
La meilleure solution aujourd’hui consiste à souscrire à un contrat d’assistance et de support technique auprès d’un prestataire spécialisé, en lui confiant tout ou partie de la gestion technique de son système informatique. En faisant ce choix, l’entreprise peut s’appuyer sereinement sur une expertise technique toujours à jour, en complément de sa stratégie de formation interne. Ainsi elle permet à son RI de consacrer plus de temps aux projets d’optimisation et de pérennisation du SI. Dans tous les cas, délaisser la maintenance opérationnelle du SI ne doit jamais être à l’ordre du jour.
Le responsable informatique ne doit pas négliger sa propre formation
Bien évidemment, toute cette démarche n’a de sens que si le RI a la possibilité de développer sa propre expertise. Dans une logique de transmission de compétences continue, il est impératif pour le responsable informatique d’avoir le temps de monter en compétences dès que nécessaire.
2. Mettre en place un plan de formation, continu et ludique, autour de la sécurité informatique
Vouloir impliquer l’ensemble de ses collaborateurs, quelle que soit la démarche, est toujours ambitieux. D’autant plus lorsque cela implique de leur demander des efforts et de leur imposer des contraintes. C’est pourquoi nous ne saurons que trop vous conseiller d’aborder l’exercice de manière ludique et concrète.
- Soyez clairs et compréhensibles sur les objectifs : la démarche aura beaucoup de plus de sens et les efforts de vigilance demandés seront ainsi mieux acceptés ;
- Soyez ludiques et interactifs en encourageant par exemple le « zéro incident » et en mettant en place des évaluations régulières : il est notamment possible de créer une émulation collective et positive grâce des « récompenses » par services/équipes (si le contexte le permet) ;
- Impliquez les utilisateurs en étant à l’écoute de leurs observations, et intégrez les retours de vos utilisateurs à vos futures sessions de formation : car si le RI en est le pilote, un SI se manage à plusieurs ;
Un excellent moyen de compléter vos sessions de formation est de remettre à vos collaborateurs un pense-bête des bonnes pratiques les plus importantes en matière de sécurité informatique. Privilégiez un format flyer ludique et synthétique, plutôt qu’un livret de plusieurs pages qui sera moins consulté.
3. Faire de la veille et organiser des actions de prévention en fonction de l’actualité
Enfin, dans la mesure du possible, il est également conseillé de contextualiser ses actions de prévention ou de formation, afin d’améliorer leur efficacité. En prenant l’exemple d’une entreprise récemment victime d’un ransomware, votre action de prévention autour des ransomwares aura naturellement plus de portée.
C’est pourquoi il est important de mener une veille régulière autour des incidents de sécurité. Cela vous permettra également de pouvoir répondre plus facilement aux éventuelles questions de vos collaborateurs, sur des sujets d’actualité liés à la cybersécurité.
Vous l’aurez compris, la formation et la prévention permettent de limiter grandement les risques d’incidents informatiques en entreprise. La bonne stratégie consiste donc à mettre en place un cercle vertueux, collectif, de bonne gestion du SI. Cette mission nécessite une participation de l’ensemble des collaborateurs de l’entreprise. Un challenge qui en vaut la peine sans aucun doute, au vue de la multiplication des cyberattaques ces dernières années.