Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : Dessins animés et bandes dessinées, outils ultimes de la sensibilisation ?

juin 2015 par Marc Jacob

Pour sa dernière conférence avant les vacances d’été le CLUSIF avait organisé une conférence dont le titre était : « La sensibilisation pour qui, pourquoi et comment ? ». Pour débattre de ce sujet le CLUSIF avait réuni le Sénateur Bruno Sido, Premier Vice-Président de l’OPECST, Jean François Pépin, Secrétaire général du CIGREF, Damian NOLAN – DAesign et quatre RSSI de grands groupes français. Pour l’ensemble de ce panel, la sensibilisation est un outil de sécurisation aussi important que les solutions techniques. Par contre, il semble que les messages passent mieux avec des BD et des dessins animés… comme quoi on se s’éloigne jamais de son enfance…

Avant de commencer cette nouvelle conférence Florence Hanczakowski a annoncé que le site web du CLUSIF va être refait. Elle a rappelé que le CLUSIF a entrepris une grande enquête sur les réseaux SCADA.

L’animateur de cette conférence Thierry Chiofalo a expliqué le thème en montrant qu’en sécurité informatique, il faut des outils mais aussi de la formation, de la sensibilisation mais aussi il est nécessaire d’informer les utilisateurs afin d’améliorer la sécurité du SI. Puis il a cédé la parole au Sénateur Bruno Sidon, Président de l’OPECST (l’Office parlementaire d’évaluation des choix scientifiques et technologiques) et coauteur d’un rapport sur la sécurité numérique et les risques, enjeux et chances pour les entreprises.

Le Sénateur Bruno Sidon

Le sénateur explique le cheminement qui l’a conduit à mette l’accent sur l’importance de la sensibilisation en matière de SSI. Dès février 2013, l’office a organisé une journée d’audition publique durant laquelle il a été traité des enjeux de la sécurité militaire et civile. Il a été montré que les sujets étaient étroitement liés. Ainsi. Une étude a été commandité par la suite, dont l’objectif était de se centrer le sujet des OIV avec un ciblage sur les réseaux Telecom et les opérateurs d’énergie. Une centaine de personnes et d’organisation ont été consultée parmi lesquelles le CLUSIF. Il a été montré que les outils informatiques n’offrent que peu de sécurité. Suite à ce constat, le Sénateur Bruno Sidon a organisé des démonstrations auprès des membres des parlements : Assemblée Nationale et Sénat. Il a ainsi noté que malgré des démonstrations de piratage devant cette audience, il est très difficile de sensibiliser les parlementaires. Sans compter que les membres du gouvernent même lorsqu’on leur met à disposition des outils de communication sécurisé ne s’en servent pas. Quant aux journalistes, il en est de même « comme s’ils oubliaient de lire ce qu’il publiaient sur les problèmes informatiques et le piratage » précise le sénateur. Ainsi, il a déploré du peu de relais dans la presse des incidents de sécurité informatique. Ainsi, par exemple, il a constaté que l’AFP n’a pas fait mention de ce rapport, ni même de la publication des décisions d’Axelle Lemaire en ce domaine. Pour ce qui concerne les entreprises, les RSSI sont peu ou pas écoutés selon lui.... Le déni de sécurité sert surtout à se dispenser de sécuriser les messages et éventuellement d’effectuer une remise en questions de ces habitudes. Pour ce qui est du chef d’entreprise d’un OIV il ne saurait être avisé tout seul. Cela dépend de son entourage direct, de ses sous-traitants, du choix des matériels... Il est donc nécessaire de sensibiliser l’ensemble de ces populations. Pour ce qui est de l’enseignement, il semble qu’il n’y ait pas ou peu de professeurs en de domaine. En conclusion il a insisté sur l’insuffisance de la sensibilisation des élèves jusqu’au président d’OIV en passant par les parlementaires. Il a conseillé de s’inspirer des recommandations de l’ANSSI sur l’hygiène informatique. « Il faut transformer l’intelligence individuelle en intelligence collective » a t’il déclamer en conclusion reprenant pour cela l’expression de Lazzaro Pejachovicz, le président du CLUSIF. Pour lui, au même titre qu’à l’école les enfants reçoivent des cours sur le code la route, il faudra qu’ils soient aussi former à la sécurité informatique. De même, dans les entreprises la faute informatique pourrait être qualifiée de faute lourde. Pour lui il est nécessaire que les entreprises investissent dans la sécurité informatique !

Jean François Pépin

Le Cigref sensibilise ses membres par un serious game

Jean François Pépin a présenté le serious game créé par le Cigref. La transformation numérique et la Cybersecurité sont indissociables a-t-il expliqué en préambule. Le serious Game a contribué à sensibiliser les dirigeants en matière de cybersécurité, mais aussi les métiers des grandes entreprises. Ainsi le Cigref a créé un cycle de sensibilisation aux usages de la sécurité numérique à l’aide d’un financement participatif par ces membres. Cette formation a été validée par l’ANSSI et l’INHESI. Pour l’élaboration de ce serious Game un appel la concurrence a été lancé avec pour objectif de réaliser une solution qui cible les métiers, qui soit originale, moderne... c’est la société Daesign qui a remporté ce marché. Il a conclu son intervention en expliquant qu’il est aujourd’hui nécessaire d’inclure les PME, les autres parties prenantes comme les administrateurs et enfin il faudra sensibiliser le grand public. « Il faut faire de la Cybersecurité un enjeu national ! »

Damian Nolan de la société Daesign éditeur de jeux vidéo spécialisé dans la sensibilisation sur mesure a présenté le jeu "Keep an Eye Out" réalisé pour le Cigref. L’un des objectifs du jeu sont de faire prendre conscience de l’importance du numérique et des risques liés. Un outil a été produit pour que les entreprises puissent se projeter dans ce jeu. Ainsi, un jeu d’aventure a été créé dans lequel le joueur est chargé de veiller sur deux collaborateurs. Le scénario se déroulée dans 5 environnements différents : domicile, lieu public, train, chez un client et dans une gare. Parmi les enjeux, il fallait savoir comment capter l’attention des joueurs. Un univers 3D a été créé avec un scénario vivant et dynamique dans lequel le joueur est un véritable acteur du film. Il comprend deux phases une sur l’action et la seconde pour la réflexion. Un travail a été fait avec le Cigref, l’ANSSI, des entreprises... pour sa réalisation. Dans le jeu un concurrent a été introduit afin de matcher le degré de sensibilisation à la fin de chaque étape du jeu. Il a fallu six mois pour produire ce jeu, le premier a été livre le 15 janvier et le dernier épisode le 8 avril.

Puis un RSSI qui a participé à l’élaboration de ce jeu a relaté comment s’est fait son déploiement. Dans le passé, la sensibilisation était faite l’ancienne avec des « Power Point ». Pour sa diffusion, il a été mis à disposition des collaborateurs via le déploiement d’un agent et de l’information sur l’intranet. Ceux qui ont été informés ont été conquis par le jeu.

Faire feu de tout bois pour sensibiliser

Dans cette grande entreprise de transport, ce responsable du programme de sensibilisation a présenté ses actions. Dans son entreprise, il y a un partage des informations internes mais aussi des documents produits par les agences gouvernementales…. Pour lui, l’utilisateur ajoute une véritable complexité au SI. « En effet, si on donne un ordre a un ordinateur, il va agir en fonction de l’ordre communiqué. » Par contre, un ordre donné a un utilisateur peut-être soit exécuté, soit interprété, soit oublié... Il rappelle que si la citation usuelle est de dire que l’Humain est le maillon faible du SI par contre c’est aussi le dernier rempart pour lutter contre les attaques. Face aux attaques protéiformes (phishing, virus, spams, chevaux de Troies...) l’utilisateur est assez démuni. Ainsi en ce qui concerne la sensibilisation, il faut sans cesse revenir faire de nouvelles sessions afin de retenir l’attention de l’utilisateur. Pour lui, la vraie mesure des effets des actions de sensibilisation, vient avec un incident de sécurité. Par exemple, suite à une attaque récente, il s’est aperçu qu’uniquement 3% de ces utilisateurs avaient cliqué sur les liens proposés par les pirates. Ce qui est pour lui encore trop car ce taux s’apparente au statistique dans le domaine de la vente de photocopieur par exemple. Pour lui les messages de sensibilisation doivent passer par des BD avec des personnages qui ont l’air réel. Il faut montrer que les sphères personnelles et professionnelles sont liées et qu’il faut donc la même hygiène informatique. Il faut aussi faire de l’information de façon régulière, il faut les former et les sensibiliser. Il a insisté sur la différence entre la formation et la sensibilisation. Il utilise différents supports : des bandes dessinées, des post-it… il a aussi organisé un jeu récompensé par des IPad pour les trois meilleurs. Ainsi, il a eu 27.000 joueurs sur 120000 personnes dans le groupe. Il va reconduire cette expérience en 2015. Il a aussi produit un dessin animé qui est diffusée sur son intranet. Pour lui la meilleure sensibilisation est celle réalisé sous forme de dessin animé. Il a rapporté qu’en Nouvelle Zélande un dessin animé « Dumb ways to Die » incite à ne pas traverser les voix de chemin de fer. Du fait du scénario, il a été visionné plusieurs millions de fois.

Des actions ludiques au dialogue raisonné

Le RSSI d’une administration a présenté ses actions de sensibilisation. Dans son organisation pyramidale pour diffuser l’information ils ont créé des fiches de sensibilisation, des affiches thématiques, une semaine de la SSI. Ils ont créé un mini-site pour cette semaine de la SSI afin d’avoir une communication unifiée au sein de l’ensemble des organismes de cette administration. Une infographie a aussi été créée. Le ton humoristique est utilisé au travers de BD. Elle est liée à une fiche thématique et interview d’une personnalité. Différents supports sont utilisés comme par exemple un Slam d’un minute qui rappel par bribe les grands messages de la sécurité. Un questionnaire est aussi proposé aux utilisateurs afin qu’ils puissent se Benchmarker. L’objectif de cette semaine est d’avoir une mesure de l’état de sensibilisation, mais aussi d’obtenir un retour sur les supports fournis mais aussi de savoir quels sujets abordés dans les prochaines campagnes.

Pour les informaticiens de son administration, l’équipe de SSI utilisent des moyens différents. La sensibilisation doit éveiller vers l’existence du mal dans le SI. Le mal est produit par des vulnérabilités. Les bonnes pratiques c’est d’appliquer les recommandations produites par l’ANSSI. Pour la sensibilisation des informaticiens il faut générer le dialogue avec les sachant. Il faut avoir une vision commune face au mal. L’objectif est de prendre un sujet et de travailler avec eux. Par exemple sur la fuite d’information, il leur a proposé de travailler sur les traces comme aide pour disculper l’administrateur. Il a travaillé aussi sur les causes de transgression des règles de sécurité et les conséquences.


Voir les articles précédents

    

Voir les articles suivants