Dalila Ben Attia, Terranova Security : « la formation est un processus continu »

Terranova accompagne, depuis vingt ans, les entreprises dans la mise en place de programmes de sensibilisation et de renforcement de la sécurité au niveau du facteur humain. Dalila Ben Attia, responsable formation chez Terranova Security, explique que l’éditeur se concentre surtout « sur tous les éléments permettant aux responsables de la sécurité de l’information et en gestion de risque de voir les éléments qui permettent à l’utilisateur de détecter les risques et de connaître les techniques d’évitement ». Et de s’inscrire dans un « processus continu de formation tout au long du cycle de la campagne de sensibilisation ». Car pour elle, il ne s’agit ni plus ni moins que d’un processus comme tous les autres qui sont impliqués dans la sécurité de l’information. À cette nuance près, que le facteur humain est historiquement le parent pauvre d’une discipline dominée par la technologie.

Terranova Security revendique notamment « plus de 10 millions d’utilisateurs actifs sur une plateforme de gestion de la sensibilisation », représentant « plus de 1 000 clients à travers le monde ».

LeMagIT : Lorsque l’on se lance dans la formation de ses collaborateurs au phishing, par exemple, à quelle forme de progression doit-on s’attendre ?

Dalila Ben Attia : Je vais prendre la question dans l’autre sens, à savoir comment démarrer et comment mettre en place un programme efficace. Et c’est plutôt dans ce sens-là que je vais aborder cette question, suivant la maturité de l’organisation, son secteur d’activité, son éventuel historique de sensibilisation. Est-ce que les utilisateurs sont conscients des risques, est-ce qu’ils sont impliqués ? Est-ce que le RSSI a lancé ce programme-là juste pour des raisons de conformité ? Pour des raisons de processus dans sa gestion de la sécurité de l’information de manière générale ? Cela dépend vraiment de l’entreprise et de son orientation vis-à-vis du programme de sensibilisation.

De manière générale, une entreprise qui n’a pas mis en place de la sensibilisation de manière continue ne va pas s’attendre à voir des courbes de réalisation ou même de complétion des contenus qui soient à la hauteur. Et cela parce que c’est un processus continu.

Car pour un utilisateur, la sécurité de l’information, ce n’est pas son métier, finalement. Pour lui, il y a des outils en place à ces fins. Et lui-même n’a pas les mécanismes mentaux, les alertes que peuvent avoir un responsable de la sécurité ou un administrateur système. Il faut donc amener ces utilisateurs à comprendre quels sont les risques pour adopter les bons mécanismes de protection de l’information.

Quand cela s’inscrit dans un processus complet, ça fonctionne bien. Nous accompagnons certains de nos clients depuis 14 ou 15 ans et l’on voit qu’ils ont vraiment une très, très bonne maturité. Et leurs utilisateurs sont véritablement éveillés à la sécurité de l’information. Tout dépend vraiment de l’orientation de l’organisation, de comment elle aborde la sensibilisation vis-à-vis de ses utilisateurs, et surtout, si c’est un projet d’entreprise.

LeMagIT : Faut-il s’attendre à arriver à un moment où l’on a l’impression que ses collaborateurs ont cessé de progresser ?

Dalila Ben Attia : Ça, ce n’est pas normal s’il y a la bonne approche. Tout dépend de ce qui a été mis en place. Si les utilisateurs reçoivent toujours le même format de formation – un cours, puis une évolution, et on recommence après six mois – sans changer de format et avec, peut-être, deux points de contact par an avec les utilisateurs, on risque de perdre vite en efficacité, par lassitude : il faut varier les formats et les points de contact. C’est très important.

On estime, en sécurité, qu’il faut au minimum six points de contact avec un utilisateur sur un sujet donné, pour que son comportement puisse changer. Tout tient en fait dans la répétition du message et surtout dans le format qu’on lui donne.  

Si l’on donne toujours le même format, sans varier le contenu, le taux de participation va baisser naturellement. Si on a fait une simulation ou deux de phishing juste pour évaluer et non pas pour entraîner les utilisateurs, ça va être la même chose.

C’est-à-dire que l’on a juste collecté un taux de clics, mais on n’a pas pris les actions éducatives derrière ce programme-là pour accompagner l’utilisateur et lui démontrer que les risques sont là. Comment les détecter ? Quels sont-ils et comment les éviter ? Sans réponse à ces questions, l’utilisateur peut être déçu, finalement.

Il faut que le programme soit dynamique, interactif, avec du contenu de qualité. C’est tout cela qui permet d’obtenir et maintenir l’engagement des utilisateurs. C’est d’ailleurs la question primordiale : est-ce que mes utilisateurs sont engagés, ou pas ?

LeMagIT : On n’attend pas nécessairement que la pédagogie fasse partie de l’éventail de compétences d’un RSSI. Dès lors, il paraît illusoire d’espérer avancer sur le terrain de la formation des utilisateurs sans accompagnement…

Dalila Ben Attia : Tout à fait. C’est un constat qui s’impose : le métier des RSSI n’est pas d’être pédagogues. Et de ce fait, l’accompagnement est une chose importante. Ne serait-ce que pour déterminer comment configurer son programme, sur quels thèmes se lancer, suivant quelles priorités, pour quel taux d’engagement à atteindre ? Se baser sur les thèmes d’une RSSI, les résultats d’un audit ou d’une première évaluation, n’est pas nécessairement ce qui apportera le meilleur retour sur investissement.

Pour accompagner nos clients, nous réalisons des enquêtes de maturité, des enquêtes de pre/post-formation, qui permettent justement de déterminer la meilleure stratégie, le taux d’engagement à atteindre, le format adapté à l’organisation, mais encore d’établir si les contenus sont cohérents avec les politiques internes, et s’ils sont personnalisables.

« Il y a de nombreux indicateurs qui permettent de dire si ce que l’on est en train de faire a un impact positif sur les utilisateurs. »

On a même des projets pour aller un peu plus loin, qui permettent par exemple à des organisations de mettre en place des passeports cybersécurité, basés sur une évaluation du niveau. Et pour passer d’un niveau à l’autre, on met en place des programmes qui ont un impact positif sur le changement du comportement de l’utilisateur.

LeMagIT : Au bout de combien de temps peut-on espérer des résultats au moins rassurants, sinon satisfaisants ?

Dalila Ben Attia : C’est un processus continu ; ça ne s’arrête pas. Pour autant, on a des éléments de mesure, des indicateurs permettant de voir que la formation fonctionne et que le changement attendu est là.

Pour le phishing, par exemple, on analyse le taux de reporting des utilisateurs. Il y a de nombreux indicateurs qui permettent de dire si ce que l’on est en train de faire a un impact positif sur les utilisateurs. On tient aussi compte du délai de signalement.

Au-delà, on s’intéresse aussi au taux d’adhésion des utilisateurs. Au final, pour chaque programme, il y a vraiment beaucoup d’indicateurs à prendre en compte afin de savoir s’il est efficace ou non.

LeMagIT : Tout de même, combien de temps faut-il patienter avant que ne se manifestent les premiers signes encourageants ?

Dalila Ben Attia : Généralement, par rapport à notre expérience, il faut compter entre 2 et 3 ans de campagnes de sensibilisation pour avoir vraiment un impact positif. Parce que, si l’on prend un sujet, et que l’on en revient à la notion de 6 à 8 points de contact avec l’utilisateur pour effectivement changer son comportement sur ce sujet, c’est au bout de deux à trois ans que l’on commence à obtenir des résultats.

LeMagIT : Êtes-vous parfois confrontée à des entreprises qui vous semblent partir de vraiment trop loin pour espérer atteindre le moindre résultat ?

Dalila Ben Attia : Alors heureusement pour nous, ça n’arrive pas. Parce qu’il y a des entreprises qui ne passent pas le pas de la sensibilisation, parce que c’est cher, ou parce qu’il n’y a pas de ressources pour gérer ça, ou à cause d’autres éléments bloquants. À l’inverse, on voit de grandes organisations qui sont structurées avec des services de sensibilisation qui comprennent entre 15 à 20 personnes.

Pour celles qui n’ont pas cette chance, c’est vraiment un objectif pour nous que de les accompagner dans cette montée en compétence et de les aider à avoir les mêmes, la même structuration de gestion, de campagnes de sensibilisation.