Virus informatiques : des exemples pour augmenter la sensibilisation des agents
Le niveau des attaques informatiques a été multiplié par quatre en deux ans. Et le secteur public est une cible de choix. La lutte passe par la sensibilisation des agents qui sont souvent malgré eux la porte d’entrée des cyberattaques. Les communicants publics ont développé des campagnes internes efficaces. Observons ces initiatives.
« Première des priorités, augmenter la sensibilisation. Ce n’est pas pour rien que l’on appelle cela un virus ; de la même manière que pour une pandémie, pour s’en prémunir, on a besoin que chacun se sente responsable. » Le parallèle fait par la communication gouvernementale entre les virus illustre bien le niveau de la menace. Rappelons que chaque semaine un hôpital fait l’objet d’une cyberattaque. Cette sensibilisation commence par l’information que l’on peut donner en interne aux agents. Car le virus entre discrètement par un simple clic un peu rapide d’un agent pas suffisamment précautionneux.
Le test que nous raconte Virginie Coiffard, cheffe du service de la communication interne du département de Maine-et-Loire, est révélateur. « Vous avez ainsi reçu dans votre boîte mail trois messages étranges. Ces trois messages étaient en réalité de faux messages d’hameçonnage (ou phishing) ! Il y a eu en moyenne 26,5 % de clics sur les liens internet de ces messages, pour lesquels la source n'était pas connue, et près de 10 % de faux formulaires de contact ont été validés. Si le message avait été une vraie tentative d’hameçonnage, le pirate informatique aurait pu récupérer des données, des dossiers de travail, des informations concernant les usagers du département, etc. » Les communicants publics se sont donc saisis du problème et mènent des campagnes internes. Partageons leur expérience.
Plaine Commune : une charte et un guide élaborés avec les agents
La charte et le Guide des pratiques numériques de Plaine Commune sont un bon exemple d’une démarche efficace, explique Grégory Morin, chargé de mission à la direction de la communication interne. « Nous avons d'abord établi une charte interne pour l'usage des ressources numériques. C'est un peu le volet numérique du règlement intérieur. Nous avons élaboré, travaillé et validé ce document avec les organisations syndicales et l'avons fait valider en conseil communautaire. » L'élaboration d'une telle charte, reconnaît Grégory Morin, nécessite un certain débat avec le personnel car cela touche à la responsabilité individuelle, à l'accès à l'espace de travail privé. Après la charte, Plaine Commune a réalisé son Guide des pratiques numériques en privilégiant l'interactivité et le transmédia. Le sommaire permet de naviguer dans les pages, des liens renvoient vers des tutoriels, avec certaines vidéos réalisées par la DSI.
Département du Maine-et-Loire : une campagne interne sur trois ans
La campagne de com interne sur le thème de la sécurité informatique du département du Maine-et-Loire a été conçue sur trois ans. Une vraie stratégie déclinée dans la durée.
« Avec notre DSI et en collaboration avec une filiale d’Orange, nous en sommes arrivés à une campagne de com sur trois années avec plusieurs outils », nous indique Virginie Coiffard.
Et c’est la mascotte nommée « Krapull », qui représente « l’être malveillant » qui veut voler nos données, nos mots de passe… qui marque le dispositif. Déclinée en plusieurs dessins, elle a été réalisée en interne par un collègue talentueux.
Le département a mis à la disposition de ses agents une plateforme en ligne avec accès personnalisé contenant une série de 12 vidéos thématiques et une série d’affiches thématiques de sensibilisation.
Des outils mis à la disposition du département par l’un de ses prestataires, Phosforea. Les visuels ont été personnalisés et envoyés dans les services pour affichage dans les couloirs ou salles de réunion.
Deux initiatives marquantes ont complété ces actions :
- la campagne de phishing pour tester l’envoi de faux mails aux agents sur plusieurs mois et comptabiliser le nombre de collègues qui ont cliqué sur les liens ;
- l’organisation d’un événement dédié au pique-nique annuel des agents de juin 2019 avec des ateliers sur le thème de la sécurité informatique (quiz, escape game pour trouver le mot de passe d’un collègue avec reconstitution d’un bureau fictif).
Département de Charente-Maritime : une web série
En 2018, le département de Charente-Maritime s’est doté d’une charte d’utilisation et de protection du système d’information et des données personnelles. Accessible sur son intranet, elle est distribuée à tout nouvel arrivant.
Dans la continuité de ces actions, le département a réalisé, en 2019, une web série. Après une vidéo teasing, quatre épisodes ont été diffusés sur l'intranet et reprennent les thématiques du système informatique, de la mobilité, des mails et des mots de passe. Le principe : un comédien qui joue le rôle d'un journaliste et interroge les agents sur leur lieu de travail. Ces vidéos ont été tournées avec la participation d’agents et reprennent des situations, contextes, problématiques qu’ils rencontrent au quotidien. Elles ne sont plus aujourd’hui accessibles pour respecter les agents filmés il y a plus de deux ans. Mais avec le recul, il est possible de mesurer l’impact de cette communication qui a impliqué les agents et décomplexifié le sujet.
Trois mois après le lancement des vidéos, vues 3 000 fois, le département a réalisé un court sondage sur l’intranet, auprès des agents. 40 % des répondants ont affirmé que leur regard sur les sujets traités avait changé grâce à la web série et 90 % des répondants ont indiqué souhaiter la réalisation d’une saison 2 en proposant des thématiques à aborder.
Mulhouse Ville et Agglo : pour les élus aussi
« Nous avons réalisé une charte d’utilisation des ressources informatiques, que chaque agent avec un compte Windows a dû signer électroniquement au démarrage de sa session », précise Pauline Moussalli, responsable de la communication interne de la ville et de l’agglo de Mulhouse. « Nous l’avons aussi accompagnée d’un mémento pratique, moins fastidieux à lire, rappelant les règles de base, que nous avons décliné pour les élus également. »
Action contre la cybermalveillance : le Bureau des légendes en renfort
Action contre la cybermalveillance, groupement d’intérêt public initié par l’État, a pour mission d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance. Pour informer ces publics sur les menaces numériques et les moyens de s'en protéger, l’établissement s’est appuyé sur la grande notoriété de la série de Canal +, Le Bureau des légendes. Dans l’univers de la série à succès, avec certains de ses acteurs, et avec l’aide du coproducteur du Bureau des légendes, le court-métrage réalisé met en scène une jeune femme qui travaille au sein des services secrets français et qui est sans cesse interpellée pour venir en aide pour des problèmes de cyberattaque. La jeune femme leur recommande finalement de s’adresser à l’Agence nationale de la sécurité des systèmes d’information (Anssi). La vidéo propulse un message final : « Face à la menace cyber, pas besoin de connaître quelqu’un au bureau des légendes. Adoptons les bons réflexes. »
Une manière originale et percutante de rappeler que toutes les victimes peuvent se rendre sur le site cybermalveillance.gouv.fr exploité par l’Anssi et le ministère de l’Intérieur. Une plateforme qui non seulement résume les bonnes pratiques de cybersécurité, mais guide également les victimes.