Programme de sensibilisation à la sécurité pour former les employés aux bonnes pratiques en matière de sécurité des systèmes d'information.

COMMENT VOUS INFORMEZ VOUS ? COMMENT SENSIBILISEZ VOUS VOS COLLABORATEURS ?

• POUR LES TPE : S'INFORMER Sans avoir de compétences particulières en informatique ni beaucoup de temps à y consacrer, il est possible de prendre connaissance de recommandations concernant les bonnes pratiques, d'alertes sur les menaces en cours et d'informations sur les mises à jour logicielles disponibles en suivant les actualités publiées par le dispositif Cybermalveillance.gouv.fr. Ce suivi ne nécessite aucune compétence informatique particulière.
• POUR LES PME : S'INFORMER ET SENSIBILISER Pour aller plus loin, une veille technique relative aux campagnes d’attaques et aux vulnérabilités est également effectuée par le centre gouvernemental de veille, d'alertes et de réponse aux attaques informatiques : le CERT-FR. Elle conviendra plus particulièrement aux PME dotées d'un service informatique, mais aussi aux professionnels indépendants qui souhaitent élargir leurs connaissances. Au-delà, pour les PME, il est recommandé de mettre en place les bases d'une culture de l’hygiène informatique par une information régulière du personnel aux bonnes pratiques de sécurité et aux principales menaces qui peuvent affecter la vie de l'entreprise. Cette sensibilisation peut se décliner par le biais de communication régulière et d'une charte informatique remise à chaque nouvel arrivant, qui détaille les usages numériques à respecter et la procédure de déclaration d'un incident. Elle se doit d'être régulièrement rappelée : il peut s'agir, par exemple, de diffusions régulières de messages en interne, lors de réunions ou par le biais d'une newsletter éventuellement étayée par une revue de presse des incidents récents. La déclaration d'incidents doit être encouragée et, pour ce faire, une réponse non coercitive doit être privilégiée. Il s'agit de responsabiliser les utilisateurs face à des menaces évolutives et non de les sanctionner (sauf en cas d'action délibérée) afin d'éviter une sous-déclaration des incidents.