Développer un programme de sensibilisation à la conformité

Développer un programme de sensibilisation à conformité est essentiel pour prévenir les violations de conformité d’origine interne. L’expert Mike Chapple détaille les étapes à suivre pour engager un tel programme.

A écouter les conversations autour de la fontaine à eau des entreprises, on peut avoir l’impression que la sensibilité à la conformité a atteint des sommets inédits. Mais l’on continue toutefois de lire des articles sur des violations de conformité résultant d' actions d’employés peu familiers des conséquences de leurs actions, et cela même sans intention malicieuse.

Les organisations qui construisent et maintiennent un programme robuste de sensibilisation à la conformité peuvent réduire le risque et l’éventualité que survienne une erreur routinière conduisant à un incident majeur.

Rassembler les ressources

Pour mettre en place un programme de sensibilisation à la conformité, il est nécessaire de rassembler les ressources humaines et financières requises pour développer une approche solide de l’évaluation de la situation et de la formation. Et comme pour chaque investissement de ressources, il est préférable de disposer du soutien de la direction. Pour cela, il convient de construire un argumentaire robuste en illustrant comment le programme peut réduire le risque pour l’entreprise. De là, obtenir le soutien des dirigeants de l’organisation est un moyen efficace de lever les barrières et d’obtenir les moyens nécessaires pour concevoir, mettre en œuvre et déployer une initiative de formation.

Les ressources humaines nécessaires peuvent revêtir plusieurs formes. Tout d’abord, l’initiative doit disposer d’un pilote clairement identifié. Un responsable de la conformité en est un légitime. Mais en son absence, les ressources humaines ou le service juridique peuvent être des pilotes appropriés, de même que toute entité fonctionnelle soumise à des obligations réglementaires fortes. Le pilote de l’initiative peut alors en être le champion pour identifier et réunir les experts nécessaires au programme.

L’organisation a également besoin de sélectionner les mécanismes appropriés pour fournir les contenus liés à l’initiative. Ceux-ci vont varier en fonction du budget, de la complexité du programme et de la culture de l’entreprise. Il peut s’agir de formations organisées sous la houlette d’un instructeur, de programmes en ligne, ou encore de contenus imprimés au rythme personnel des collaborateurs. Les grandes organisations avec des effectifs variés chercheront probablement à offrir un éventail d’options adaptées aux différentes populations. Les plus petites organisations se contenteront peut-être de l’option la plus économique pour atteindre leurs objectifs.

Développer le cursus

Rassembler les ressources pour assurer la formation n’est qu’une première étape. L’entreprise doit ensuite développer un cursus intégrant des contenus taillés sur-mesure pour répondre à ses besoins de conformité spécifiques. Il y a pour cela trois options : acheter le contenu, développer le contenu, ou personnaliser le contenu acheté auprès de tiers. La méthode la plus simple et probablement la plus économique consiste à acquérir des contenus de formation immédiatement exploitables. S’ils répondent aux besoins de l‘entreprise, c’est parfait. Sinon, leur adaptation est envisageable. Et en cas d’échec, il peut être nécessaire de recourir au développement de contenus spécifiques.

Lors du développement du cursus de formation, il convient de s’assurer de couvrir toutes les obligations auxquelles est soumise l’entreprise. Dans certains cas, cela peut recouvrir un grand nombre de réglementations variées. Et encore plus lorsque l’entreprise évolue dans différents environnements réglementaires. Mais s’il est important de couvrir tous les sujets, il est essentiel d’adapter le périmètre de formation aux responsabilités professionnelles de chacun.

Dans la même logique, il convient d’adapter la formation au rôle individuel de chacun. Par exemple, tant les équipes de la cafétéria que les administrateurs de bases de données doivent être sensibilisés à PCI DSS. Mais pas de la même manière. Les premiers sont concernés par la manière d’utiliser les terminaux ou de réagir à des transactions suspectes. Les seconds sont plus concernés par des questions telles que le chiffrement ou les impératifs de rétention des données.

L’adaptation des contenus à chacun augmente les chances de voir les employés retenir les informations spécifiques à leurs métiers.

Evaluer les résultats

Une fois le contenu développé et déployé dans le cadre du programme de sensibilisation de l’entreprise, il convient de mettre en œuvre un programme d’évaluation pour s’assurer que l’entreprise se conforme à ses obligations de formation continue. A minima, il est nécessaire de mettre en place un système fournissant une trace d’audit vérifiable pour les formations. Si un auditeur demande à l’entreprise de faire la démonstration du respect de ses obligations de formation, il doit être aisé de récolter ces enregistrements à l’échelle de l’individu comme de la division à laquelle il est rattaché. Suivre les résultats de la formation est aussi important que la fournir.

Faut-il pour autant soumettre les employés à des quizz ou des tests dans le cadre du programme de formation ? Si la culture de l’entreprise suggère que l’organisation est suffisamment patiente pour accepter ces outils, ils constituent un moyen puissant d’encourager la participation de chacun et d’évaluer l’efficacité du contenu. Les organisations peuvent choisir des quizz courts de type « avez-vous remarqué ? » au sein de leurs contenus, ou interroger les employés dans le cadre d’un test de fin de formation.

Conclusion

Déployer une initiative de sensibilisation à la conformité robuste est un moyen puissant de réduction des risques et de respect des obligations de formation. Le vaste éventail de sources de contenus, de mécanismes, et d’outils d’évaluation offre la flexibilité nécessaire au développement d’une approche qui répond aux besoins métiers et s’adapte à la culture de l’organisation.

Mike Chapple, Ph.D., CISA, CISSP, est directeur sénior de la practice services IT de l’université de Notre Dame. Il a précédemment été chercheur en sécurité de l’information à la NSA et l’Armée de l’Air américaine.

Pour approfondir sur Réglementations et Souveraineté