« Les directions générales, tout comme l'ensemble des salariés, sont loin d'être suffisamment sensibilisées à la valeur des informations détenues par l'entreprise [...]. La mobilisation doit être générale. Encore faudrait-il que chaque salarié ait bien compris les risques - évolutifs - liés à la messagerie ou à une connexion à distance » , estimait en juin dernier le Clusif, au sein de son enquête annuelle sur les politiques de sécurité(*).

Il ne faut donc pas former uniquement les informaticiens. « La sensibilisation des utilisateurs à la sécurité varie évidemment selon la nature de l'entreprise et son activité. Dans notre cas, en raison d'un métier porté sur la qualité et la sécurité de l'information financière, nous en avons grand besoin », explique Catherine Flamand, directrice des systèmes d'information du cabinet Deloitte. Son service mène donc des opérations de sensibilisation et d'information en interne, via des e-mails, en organisant des temps forts.

Les nouveaux collaborateurs, eux, bénéficient, lors d'une journée d'intégration, d'un temps réservé à la sécurité. Mais toutes les entreprises n'ont pas ce degré de maturité, et certaines ont parfois besoin d'une aide extérieure. Les organismes de formation proposent quelques cours généralistes sur la sécurité. « Y participent fréquemment des responsables informatiques ou des chefs de projet, de plus en plus rejoints, depuis quelque temps, par des fonctionnels », note Arnaud Lordet, responsable des programmes informatiques de Comundi.

Mais la sensibilisation du plus grand nombre passe par des formations sur mesure, menées au sein de l'entreprise par le service informatique ou un prestataire externe. « Le plus souvent, nous préconisons ce type de formation dans le cadre d'une mission de conseil plus vaste, pour aller au-delà des seules règles édictées dans la charte sécurité. Nous sensibilisons alors l'utilisateur, pendant une demi-journée, aux risques internet et aux manipulations de fichiers » , explique Alexandre Garret, directeur des solutions sécurité et réseaux de la société de service ST Group.

« Une sensibilisation pour un comité exécutif ou une direction générale dure entre quarante-cinq minutes et trois heures. Au-delà, ce n'est plus jouable, constate Denis Virole, directeur du département formation de Telindus. En revanche, pour la maîtrise d'ouvrage, qui doit apprendre à exprimer clairement ses besoins en termes de disponibilité ou de contrôle d'accès, par exemple, un jour se révèle souvent trop court. Il convient, en effet, de dépasser le seul stade de la sensibilisation. »

Pour que cette démarche se généralise auprès des collaborateurs et qu'elle soit récurrente, une plus forte incitation de la part du département des ressources humaines serait nécessaire, celui-ci sachant souvent mieux s'imposer que la DSI. La mise en place de chartes sécurité par ce même département devrait y contribuer.

(*) www.clusif.asso.fr/fr/production/sinistralite/docs/etude2003.pdf