Tout le monde e-mune : comment la KU Leuven est parvenue à développer un programme de sensibilisation à la sécurité qui porte ses fruits

par
Davina Luyten

Communications Officer @ Belnet

Les risques liés aux cybermenaces sont particulièrement élevés dans un environnement universitaire, où l'innovation et l'ouverture sont vitales. Depuis plusieurs années déjà, la KU Leuven, qui est la plus grande université de Belgique, mise de manière proactive sur la sensibilisation et forme ses quelque 15 000 membres du personnel. Avec succès, puisque le programme e-mune s'est imposé au sein de l'université. GÉANT s'est intéressé à son approche et est allé rendre visite à Sofie Pieraerd, membre de l'équipe de gestion ICTS (le service informatique central de la KU Leuven), et à Karel Titeca, responsable de la communication de l'ICTS.

  • Comment le programme de sensibilisation à la sécurité de la KU Leuven a-t-il vu le jour et a-t-il évolué ?
    • « En 2008, nous avons commencé par publier différentes pages d'information sur notre site web. Cela nous a permis d'engranger un certain nombre de quick wins en peu de temps. Six ans plus tard, nous avons travaillé avec une agence de publicité pour développer un logo et un slogan : e-mune était né. Le nom et le slogan « KU Leuven zorgt voor je online gezondheid » ("La KU Leuven prend soin de votre santé en ligne") soulignent notre volonté de prendre la sécurité de l'information au sérieux et de l'intégrer dans notre culture.
    • Nous utilisons parfois e-mune comme un vecteur de partage d'informations plus techniques, mais il s'agit avant tout d'un programme de sensibilisation avec des communications compréhensibles et pertinentes pour les utilisateurs finaux ».   
       
  • Quels sont les groupes cibles que vous souhaitez toucher avec votre programme de sensibilisation ?
    • « Nous visons trois publics principaux : les membres du personnel, les étudiants et les gestionnaires informatiques. Chaque groupe cible nécessite une approche spécifique. 
    • Il y a à la KU Leuven plusieurs centaines de gestionnaires informatiques répartis dans les différentes facultés. Ils sont confrontés à des risques en matière de sécurité spécifiques, par exemple une infrastructure de recherche connectée à un PC sur lequel certaines mises à jour ne sont plus possibles. Ils n'ont souvent pas les ressources nécessaires pour former leurs utilisateurs (finaux). Nous les aidons dans cette tâche en leur proposant des solutions techniques et en communiquant sur les meilleures pratiques. La sécurité devrait être une évidence, pas un détail.»

Une approche ludique qui porte ses fruits

  • Par quels canaux essayez-vous d'intéresser le personnel et les universitaires ?
    • « Le site web d'e-mune est le principal canal de communication. Les collaborateurs peuvent y trouver une foule d'informations, du hameçonnage à l'utilisation prudente des médias sociaux. Récemment, nous y avons publié nos « clips de connaissances » : une vingtaine de courtes vidéos portant sur des sujets spécifiques et contenant des informations gérables que les utilisateurs peuvent visionner à leur propre rythme. Nous envoyons aussi régulièrement des « flashes » e-mune, soit de courts bulletins d'information dans lesquels nous commentons également l'actualité. 
    • Nous avons également déployé récemment une plateforme de formation en ligne dans toute l'université, que nous utilisons pour envoyer à intervalles réguliers des courriels de simulation de phishing.
    • Sur demande, nous organisons des séances d'information personnalisées. Par exemple, nous avons déjà organisé une séance sur le spear phishing pour le service financier. Cela est très apprécié et conduit à un plus grand engagement ».
  • Comment sensibiliser les étudiants à la sécurité de l'information ?
    • « Pour toucher les étudiants, il faut une approche distincte. Nous essayons d'être visibles autant que possible, par exemple dans les bibliothèques, les centres d'apprentissage et lors de l'accueil des étudiants au début de l'année académique. 
    • Nous remarquons que les gadgets ludiques nous aident à faire passer le message : nous avons déjà mené des campagnes avec des fortune cookies (biscuits chinois) contenant à chaque fois un conseil sur la sécurité de l'information, ainsi qu'avec des pommes imprimées (“Mieux vaut un ver dans votre pomme que dans votre PC”). 
    • Notre campagne des œufs de Pâques a été particulièrement réussie. Si nous vous donnons un œuf de Pâques avec un papier jaune en vous disant qu'il contient du chocolat au lait, le croirez-vous aveuglément ? Ou bien allez-vous d'abord jeter un coup d'œil ? Le message que nous voulions faire passer est simple : il faut toujours faire preuve d'esprit critique et de bon sens, même sur internet. 
    • Lors de la mise en œuvre de l'authentification multifactorielle (MFA), nous avons dans un premier temps rencontré une forte résistance de la part des étudiants. Mais nous sommes parvenus à passer outre grâce à une campagne ciblée utilisant des slogans stimulants tels que “À quoi bon bloquer alors qu'il suffit littéralement de ramasser les points” ? Nous avons lancé un appel aux étudiants pour qu'ils trouvent leur propre slogan pour la MFA. Et le gagnant a été : “Een tweede check, da’s toch niet te gek?” (un second contrôle, ce n'est pas si fou)
    • Ces campagnes ne sont pas conçues comme des actions ponctuelles, mais comme des initiatives structurelles. Le message clé que nous voulons faire passer est qu'on ne le fait pas seulement pour soi, mais aussi pour la sécurité de l'ensemble de l'université ».  

Assurance

  • Quels ont été les principaux facteurs de réussite du programme e-mune ?
    • « D'abord et avant tout, l'implication active des différents départements de l'université. Des consultations régulières nous permettent d'avoir une bonne vue d'ensemble des besoins des différents départements et d'assurer une meilleure diffusion de nos messages dans les différentes parties de l'université. Nous nous engageons également à intégrer e-mune dans les structures de communication et les processus administratifs existants.
    • L'adhésion de la direction de l'université a également été indispensable pour faire passer e-mune au niveau supérieur. Farouche partisan de la sécurité de l'information numérique, notre directeur général a activement soutenu le déploiement de notre plateforme de simulation de hameçonnage. 
    • Cette politique nous donne également la liberté de travailler de manière assez autonome en matière de sensibilisation à la sécurité. Le fait que notre 'noyau dur' ait une conscience organisationnelle suffisante de ce qui peut être fait et de ce qui ne peut pas l'être est évidemment utile. Nous pouvons être créatifs et proposer des idées ludiques, mais nous veillons également à éviter les controverses. En outre, nous réagissons régulièrement à l'actualité, ce qui permet à nos groupes cibles de se sentir plus impliqués et de considérer la sécurité comme quelque chose qui les concerne.
    • Sur le plan interne, nous considérons le programme e-mune comme une police d'assurance, dans laquelle nous investissons à long terme mais dont nous espérons ne jamais avoir besoin. Nous voulons évidemment obtenir des résultats, mais il ne faut pas uniquement attendre un 'retour sur investissement' à court terme ».

Culture de l'apprentissage

  • Quels conseils pourriez-vous donner à d'autres institutions R&E travaillant sur la sensibilisation ?
    • « Commencez modestement et avancez pas à pas. Nous avons commencé par de petites étapes et nous avons progressivement élargi le programme. À un moment donné, un effet de levier est de toute façon nécessaire pour passer au niveau suivant. Mais l'absence de décision politique formelle ne doit pas vous empêcher de commencer certaines choses en amont.  
    • En principe, le budget ne doit pas non plus constituer un obstacle majeur. On peut déjà réaliser beaucoup de choses avec des ressources limitées, à condition de disposer de personnes motivées et de l'expertise adéquate. 
    • Une autre leçon importante est l'importance d'une approche positive. Nous évitons de blâmer et de stigmatiser. Nous considérons e-mune comme un programme de formation, pas comme une punition. En mettant l'accent sur une culture de l'apprentissage et une communication ouverte, nous avons créé un environnement dans lequel les employés se sentent à l'aise pour poser des questions et signaler des incidents ».
  • Quels sont les défis à relever ? Et quel est l'avenir d'e-mune ?
    • « Maintenir l'attention du personnel et des étudiants reste un défi. Nous devons continuer à réfléchir à la manière démarquer notre contenu. Il est illusoire de penser que les utilisateurs le trouveront tout seuls.
    • Il reste également important d'évaluer et d'ajuster constamment le programme en fonction du retour d'information et des nouveaux développements. Ainsi, nous prévoyons, dans le cadre de l'onboarding, d'élaborer un diaporama concis présentant les principes de base d'e-mune. Les nouveaux salariés sont informés dès le départ de nos normes et procédures de sécurité. 
    • Nous prévoyons également d'étoffer notre site web en y ajoutant des guides pratiques sur la manière de gérer les incidents liés à la sécurité et à la protection de la vie privée. Réagir correctement aux incidents doit devenir un réflexe, du type 'restez calme et appelez le 112' en cas d'accident.
    • Nous envisageons en outre de travailler avec des ambassadeurs. Dans notre outil de formation, nos salariés peuvent également obtenir des certificats. Nous sommes agréablement surpris par le nombre de collègues qui s'engagent activement dans ce domaine. Ils seraient de parfaits ambassadeurs pour e-mune ».
  • Le programme e-mune deviendra-t-il un jour superflu ?
    • « La sécurité est toujours un scénario à plusieurs étages : nous avons la MFA, mais nous continuons à exiger des mots de passe forts. Une mesure n'en rend pas une autre superflue. En outre, les risques de sécurité évoluent constamment et une sensibilisation permanente restera probablement nécessaire. Il s'agit de savoir quelle partie de notre organisation est de plus en plus consciente des risques, les reconnaît et les atténue. C'est un groupe que nous aimerions voir continuer à croître. Et où cela va-t-il s'arrêter ? Quand atteint-on le point de saturation ? Aucune idée. Nous voulons que le sujet existe et qu'on en parle ».

En savoir plus ?

Le programme e-mune de la KU Leuven est un excellent exemple de la manière dont une université relève avec succès les défis de la sensibilisation à la sécurité. Grâce à une approche structurée, à des campagnes ciblées et à une communication efficace, la KU Leuven a réussi à créer une culture de la sécurité de l'information. Si vous souhaitez en savoir plus sur le programme e-mune, n'oubliez pas de vous inscrire à la session en ligne de la GÉANT Awareness Community qui aura lieu le mardi 14 novembre. Gardez un œil sur le site web de GÉANT Security pour plus d'informations ou inscrivez-vous à la liste de diffusion Security Awareness !

Did you find this news interesting?
Copyright © 2024 Belnet.