Le déroulement de nombreux scénarios d’incidents repose sur le système informatique mais aussi sur l’utilisateur : phishingTechnique d'attaque informatique reposant sur l'ingénierie sociale et utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La méthode consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer les renseignements demandés. et ingénierie sociale sont deux exemples parmi d’autres. C’est à l’occasion de tels scénarios qu’on mesure pleinement le fait que l’utilisateur est partie intégrante du système d’information. De la même façon qu’il sera décidé de mettre en place des mesures de sécurisation des équipements techniques, il est donc également nécessaire de s’assurer de la contribution maximale des utilisateurs du système au niveau de sécurité global.
Pour s’assurer de cette contribution de l’utilisateur, l’outil principal du RSSI va être de sensibiliser celui-ci à la problématique de la sécurité du système d’information. L’objectif de cette sensibilisation est d’amener les utilisateurs à adopter un comportement contribuant au niveau de sécurité global, non seulement au travers de leur réaction en cas d’incident mais également comme moteur d’aide au changement.
Le CLUSIF a souhaité faire un point complet sur ce sujet qui tient compte de la place de l’humain au centre de la sécurisation du système d’information.