Quatre méthodes pour éprouver le respect des règles de sécurité en entreprise

Sensibiliser à la sécurité est une chose. S'assurer de son efficacité en est une autre. Nathalie Risacher, RSSI de Natixis, a accepté de partager ses méthodes.

Une fois les verrous en place et les grandes consignes de sécurité transmises aux collaborateurs, place à vérification ! Et pour ce faire, les méthodes sont variées, allant du simple quizz aux « pièges » en tout genre. Pour certains responsables sécurité, miser sur une sensibilisation seule, même conçue au millimètre, peut se révéler stérile si on ne s’assure pas ensuite que le message est bien passé. C’est en tout cas le parti pris de Nathalie Risacher, RSSI de Natixis à New York.
Sensibiliser à la sécurité est une chose. S'assurer de son efficacité en est une autre. Nathalie Risacher, RSSI de Natixis, a accepté de partager ses méthodes.

Sur l'année, les collaborateurs doivent suivre des sessions de formation, à raison de deux par an et étalées sur trois mois, et réussir le questionnaire soumis sous forme de quizz à la fin. Pour valider la session, il faut au moins 75 % de bonnes réponses. Si le collaborateur manque la session ou échoue au test une première fois, il reçoit une convocation pour un rattrapage. Au deuxième manquement, le manager est alerté. La troisième fois, l’accès réseau du salarié est tout simplement coupé.
Enseignement : « Les thématiques sont choisies en fonction, soit de ce qui a déjà été fait précédemment, soit en fonction d’un incident survenu et qui appelle à ré-insister sur un point ou alors en raison d’une nouvelle politique ou réglementation que tout le monde doit savoir », ajoute Nathalie Risacher.
Sensibiliser à la sécurité est une chose. S'assurer son efficacité en est une autre. Nathalie Risacher, RSSI de Natixis, a accepté de partager ses méthodes.

« Nous avions semé des clés USB dans l’entreprise et observé le comportement des utilisateurs. Chaque clé contenait un fichier d’apparence confidentielle type “salaires” », raconte Nathalie Risacher. Un logiciel de monitoring se chargeait de remonter les IP des utilisateurs ayant inséré la clé et de ceux ayant ouvert le fichier. Dans le dernier cas, un écran d’avertissement leur expliquait le risque encouru, à savoir l'introduction involontaire d'un virus sur l'ordinateur, pouvant contaminer tout le réseau.
Enseignement : Le test s'est avéré révélateur d'un grand manque de prudence de la part des utilisateurs. « Nous avons donc opté pour une interdiction de l’usage des périphériques de stockage USB. Certains collaborateurs ont cependant la possibilité de posséder une clé USB, mais chiffrée et délivrée après demande d’autorisation auprès du responsable de service. Chaque année, ce responsable s’assure que les salariés possèdent toujours la clé, et qu’ils en ont toujours l’utilité », précise la RSSI.
Sensibiliser à la sécurité est une chose. S'assurer son efficacité en est une autre. Nathalie Risacher, RSSI de Natixis, a accepté de partager ses méthodes.


L’équipe sécurité s’est dotée il y a deux ans de la solution « Phisme », pour créer et exécuter des scénarios de phishing. Il est possible d’envoyer un courriel piégé accompagné d’une pièce jointe ou d’un lien hypertexte vers une page web demandant aux salariés de fournir leur login/mdp.
L'expéditeur est bien entendu factice, mais accrocheur dans son nom, et la pièce jointe s’appelle « attachment.com ».
Les salariés piégés tombent sur un écran d’information leur indiquant qu’ils viennent de rater l’épreuve. En cas de récidive, un message est envoyé avec, cette fois, les chefs de service en copie. La troisième fois, le salarié repasse par la case formation en ligne.
Enseignement : « Les cas de trois récidives sont très rares et nous n’en avons eu qu’un seul allant jusqu’à quatre. Cette fois-là, j’ai vu moi-même le salarié, accompagnée de son responsable, raconte Nathalie Risacher. Le dernier test fait en fin d’année 2011 a montré que 44 % des gens qui ont échoué avaient été embauchés dans l’année. » Chez Natixis, tous les services de l’entreprise sont concernés par ces mises en situation.
« Les premières fois, tout le monde recevait le même test. Le problème est qu'ils s’échangeaient les informations et que le support technique était surchargé. Désormais, je fais des vagues régulières avec des populations divisées, des scénarios différents », ajoute la RSSI.
Sensibiliser à la sécurité est une chose. S'assurer son efficacité en est une autre. Nathalie Risacher, RSSI de Natixis, a accepté de partager ses méthodes.

Le téléphone est également un moyen facile d'usurper une identité et de faire de l'ingénierie sociale. « »J’avais entendu dire qu’une personne s’était fait réinitialiser son mot de passe un peu trop facilement », raconte Nathalie Risacher. Pour vérifier, elle a donc appelé le support technique et s’est fait passer pour une autre collaboratrice, exigeant la réinitialisation de son mot de passe, ce qui lui a été accordé.
Enseignement : « J’ai donc durci la procédure d’identification du demandeur, avec déplacement au helpdesk quand cela est possible ou alors le technicien se déplace. 95 % des salariés ont un Blackberry, le support technique rappelle sur le mobile et lui demande de s’identifier. Au moins une fois par an, je teste que la procédure est bien respectée, ajoute nathalie Risacher. Au même titre qu’il ne donnerait pas les clés de chez lui, un utilisateur doit avoir le même réflexe avec le système d'information de son entreprise. L’utilisateur est le maillon faible, et souvent malgré lui dans 99 % des cas. Pour me faire comprendre j'associe le plus souvent les exemples à leur vie privée. »