Quelles mesures pour sensibiliser à la sécurité du système d'information et être efficace ?
il y a 8 ans
par
Stephane31
Je pars du postulat que les mesures techniques ont vite leur limite et que l'utilisateur doit être au cœur d'une stratégie de sécurité du système d'information.
Dans ma structure, de manière assez classique : On informe, on forme.
Lors d'une énième campagne d'information pour que les utilisateurs ne cliquent par sur tel ou tel type de mail , j'ai eu l'idée suivante :
"Mettre en place un dispositif qui imitera un mail malveillant et surprendre l'utilisateur qui clique". Bien sûr, pour sensibiliser et marquer le coup, mais surtout recueillir l'information et jauger de la maturité globale des utilisateurs sur cette question.
Qu'en pensez-vous ? Sinon avez-vous des idées ou des retours d'expériences pour sensibiliser les utilisateurs ?
3 réponses
Je suis fan du Ethical Hacking.
J'ai souvent eu recours aux fichiers de test EICAR pour sensibiliser les utilisateurs . (www.eicar.org)
Ce test leur montre le "vrai" message de l'antivirus et a permis d'éprouver un peu leur capacité de réaction en cas d'infection (qui allaient de la folle panique à la tentative de me masquer l'incident)
Cerise sur le gateau: envoyer un mail invitant tout son service (et l'IT) pour les croissants depuis la machine non verrouillée laissé sans surveillance par son utilisateur.
Autres tests sur la vigilance (et un peu sur l'éveil des utilisateurs) : envoyé un mail usurpant l'identité du President de la République, d'une célébrité (Cabrel marche bien dans le Sud-ouest) et observer les réactions.
...Je me rend compte que j'aime torturer mes semblables...
En général, j'agrémente le tout de petites phrases chocs " les mots de passe c'est comme les brosses à dents: chacun le sien et on en change de temps en temps."
Tout cela sert à introduire les "Règles d'or de l'utilisateur" rappelant les bonnes pratiques.
