Avec Sensiwave, Conscio propose une approche réaliste de la sensibilisation

Avec Sensiwave, Conscio propose des parcours de sensibilisation des utilisateurs à la sécurité informatique et revendique, pour eux, quelques 500 000 utilisateurs. Il doit en présenter 17 nouveaux à l’occasion du Forum International de la Cybersécurité, la semaine prochaine, à Lille. L’un d’entre eux doit être dédié à la protection des données à caractère personnelle. Une proposition alléchante à en juger par les parcours déjà disponibles.

Nous avons pu tester plusieurs modules : pratiques liées aux mots de passe, gestion des courriels et du hameçonnage, protection de l’information et chiffrement, escroquerie dite « au président » et plus généralement ingénierie sociale, usages liés à la mobilité.

On peut regretter que l’utilisateur ne soit pas directement mis en situation et donc, « testé » au travers de simulations. De fait, il est amené à porter un regard extérieur sur des événements survenant dans une organisation fictive. Si la mise en scène renvoie au monde de la bande dessinée, elle évite l’écueil du simplisme pour présenter des situations réalistes, largement susceptibles de survenir dans le monde réel.

Les personnages sur lesquels l’utilisateur est appelé à porter un jugement sont donc des collaborateurs d’une entreprise. Ils verrouillent – ou pas – leur poste de travail lorsqu’ils s’en éloignent. Ils communiquent à un collègue – ou pas – leur mot de passe. Ils échangent sur des sujets confidentiels dans l’ascenseur, ou encore étudient des présentations commerciales sur leur tablette, à l’aéroport, sans se soucier de leur entourage immédiat. Ils oublient de surveiller leur mallette à la réception d’un hôtel ou encore laissent des documents confidentiels traîner sur la photocopieuse durant la pose déjeuner. Ils se laissent aller à cliquer sur une piège jointe malicieuse dans un e-mail envoyé en usurpant l’identité d’un ami. Ami avec lequel ils se montrent quelque peu trop diserts, lui accordant trop de confiance alors qu’il travaille pour un concurrent.

Plus que l’écho d’une quelconque politique de sécurité interne, ces scénarios mettent en parallèle des pratiques et leurs conséquences, en faisant appel au bon sens des utilisateurs.

La sensibilisation n’est alors peut-être pas aussi aboutie qu’avec des exercices de simulation mettant les utilisateurs face à leurs propres pratiques, à la première personne, mais l’approche à la troisième personne aura peut-être l’avantage d’éviter toute forme de culpabilisation individuelle.