Bien que vous ayez identifié le besoin d’un programme de sensibilisation et de formation en sécurité, il vous reste à planifier de façon concrète chacune des étapes d’un plan qui vous permettra ultimement de sensibiliser, de former et de changer certaines façons de faire nuisibles à la sécurité de l’information à l’intérieur de votre organisation. Le succès de votre programme de sensibilisation et de formation dépend hautement de la rigueur mise dans la planification du projet. Une fois le projet mis en place, la formation continue constituera une autre étape logique et un autre facteur important de réussite à plus long terme. Un grand nombre d’organisations s’engagent dans un programme de formation dans le but de répondre aux directives et aux normes de conformité en sécurité. Cependant, plusieurs ne prennent pas toujours conscience de l’importance d’une formation qui comporte une formation continue.
Un changement dans les comportements des individus en matière de sécurité n’est pas facile à atteindre et doit donc être accompagné d’un support constant et continu. Dans le but d’optimiser votre réussite, il est préférable d’assigner un chef de projet qui assurera le suivi des différentes étapes du programme. Sous la direction du chef de projet, l’équipe de planification définira sur papier les objectifs et la portée des compétences à acquérir. Ce document devra aussi identifier et clarifier le rôle et les responsabilités de tous et chacun. Il agira aussi comme guide dans l’élaboration, l’implantation et l’évaluation des objectifs du projet.
Planifier et réussir
Comme mentionné plus tôt, votre projet devra inclure des objectifs clairs tout en identifiant la portée des apprentissages faits et les personnes qui seront tenues responsables de son implantation.
Idéalement, les objectifs du projet devraient concorder avec ceux présentés à la direction dans le but d’obtenir l’approbation et l’attribution des ressources. De plus, vous devrez vous poser quelques questions pour vous assurer que les objectifs de votre projet donneront les résultats escomptés :
- Quelle est la stratégie de votre organisation en matière de sécurité ?
- Quelle information doit être protégée et quel est le niveau de protection requis ?
- Quels sont les contraintes de normalisation (MITS, PCI, SOX, etc.) ?
- Quels sont vos politiques en matière de sécurité et comment sont-elles appliquées dans le quotidien ?
Identifier les membres du projet
L’équipe qui assurera la planification, l’élaboration et l’implantation devrait être composée des membres suivants :
- Gestionnaire de projet – cette personne assure la coordination des activités du projet.
- Chef de projet – cette personne assure la vision en matière de sécurité pour la durée du projet. Cette personne occupe en général des fonctions liées à la protection de l’information dans votre organisation.
Identification du contenu
Vous aurez à identifier les compétences qui devront être acquises pour améliorer les habitudes et changer les comportements néfastes en matière de sécurité. N’oubliez pas également de vous inspirer des pratiques réussies, des directives et des politiques de certaines compagnies existantes qui ont développé des tests liés à la sécurité de l’information. Afin de déterminer le contenu des apprentissages, le NIST met à votre disposition certaines directives dont vous pouvez vous inspirer (NIST SP 800-50). Celles-ci incluent :
- Incidents récents - Le compte-rendu des incidents récents (dans les deux dernières années) fournit des indices en ce qui a trait aux faiblesses à corriger par rapport aux compétences et connaissances des employés.
- Règles de normalisation – Un programme de sensibilisation agit comme complément dans vos efforts de formation et de normalisation.
- Perspective des employés – Plusieurs employés ont déjà certaines connaissances en sécurité. Il est donc important de les consulter pour connaître les problèmes de sécurité qui peuvent survenir au quotidien.
- Perspective de la direction – La perspective de la direction se situe souvent sur les plans stratégique et opérationnel. L’accent est placé sur l’investisseur, le fournisseur, le client et l’employé. L’implication de la direction aide à fournir une vue d’ensemble des problématiques en sécurité.
- Perspective de la clientèle – En raison du nombre grandissant des vols d’identité, la clientèle exige de plus en plus qu’on se préoccupe de la sécurité de leur information. Assurez la protection de l’information de la clientèle est une étape indispensable dans l’offre de services.
- Perspective de l’investisseur – Veuillez développer votre stratégie en fonction de la perception que l’investisseur en aura. La capacité de votre organisation à protéger l’information sera un point soulevé par l’investisseur.
Le développement d’un contenu de formation à l’interne peut être exigeant et coûteux. Consultez les sites de formation en ligne qui proposent des pratiques réussies tant pour les employés, les gestionnaires que les professionnels oeuvrant dans le secteur des technologies de l’information. Consultez plus particulièrement les contenus qui sont déjà adaptés à la réalité de votre organisation ou ceux qui peuvent facilement être modifiés à votre culture d’entreprise. Un programme de formation en sécurité nécessite des fondements solides de sensibilisation aux risques et dangers. Vous devez donc vous assurer que les employés sont sensibilisés aux politiques de votre organisation et ont été formés sur les normes de conformité. Un plan de communication adéquat et une formation continue qui renforcent les politiques et l’importance de la sécurité sont les pierres angulaires d’un programme de sensibilisation et de formation efficace. Cinq étapes à la mise sur pied d’un programme efficace :
1. Plan
a. Développer un programme de sensibilisation et de formation qui touchent les besoins spécifiques de votre organisation.
2. Mise en oeuvre
a. Développer une stratégie de communication.
b. Mettez sur pied une formation conforme aux politiques de votre organisation en sécurité.
3. Renforcement
a. Utilisez différentes méthodes pour renforcer les pratiques déjà étudiées.
4. Évaluation
a. Évaluez l’efficacité du programme et effectuez des modifications au besoin.
5. Révision
a. Révisez et mettez à jour le contenu de vos apprentissages puisque les menaces à la sécurité et les pratiques réussies changent et évoluent.