La formation de sensibilisation à la sécurité de HGA couvre un large éventail de sujets liés à notre environnement de menaces, à nos activités commerciales et à nos obligations de conformité. Son contenu est régulièrement mis à jour afin de prendre en compte les bonnes pratiques fondamentales et l’évolution des risques, notamment les menaces spécifiques à la plateforme identifiées dans l’environnement numérique de HGA [9] . Les principaux thèmes abordés sont les suivants :

• Sensibilisation au phishing et à l’ingénierie sociale : Reconnaître et éviter les courriels de phishing, le spear-phishing, le phishing par SMS (« smishing »), le phishing vocal (« vishing ») et autres attaques d’ingénierie sociale. Les participants apprennent à repérer les messages ou liens suspects, à vérifier l’identité des expéditeurs et à gérer les demandes inattendues d’informations sensibles. Ils sont sensibilisés à la vigilance et à l’importance de ne pas cliquer sur des liens non sollicités ni de fournir des identifiants sans vérification [9] . Ce module présente des exemples d’escroqueries par phishing et les tactiques psychologiques utilisées par les attaquants (urgence, usurpation d’identité, etc.), ainsi que les procédures de HGA pour le signalement des tentatives de phishing suspectées (voir la section « Signalement des incidents » ci-dessous).
• Bonnes pratiques en matière de mots de passe (et d’authentification) : Conseils pour créer des mots de passe robustes et uniques et utiliser des gestionnaires de mots de passe . L’accent est mis sur les phrases de passe ou les mots de passe complexes, difficiles à deviner, à modifier régulièrement et à ne jamais réutiliser pour plusieurs comptes. La politique de HGA, qui impose l’authentification multifacteur (AMF) pour toutes les connexions utilisateur, est expliquée, ainsi que la manière d’utiliser correctement les jetons/applications AMF [10] [11] . Les participants sont mis en garde contre les pièges courants tels que la prise de notes des mots de passe, le partage d’identifiants ou le recours aux arnaques à la réinitialisation de mot de passe. L’importance de protéger ses identifiants de compte sur la plateforme HGA (qui utilise un contrôle d’accès basé sur les rôles) est soulignée.
• Gestion et stockage appropriés des données : Meilleures pratiques pour la gestion des données sensibles, conformément aux normes de classification et de protection des données de HGA. Ceci inclut les niveaux de classification des données (publiques, internes, confidentielles, hautement sensibles) et les modalités de stockage, de transmission et de destruction pour chaque type. Les sujets abordés comprennent les exigences de chiffrement (par exemple, l’utilisation d’un stockage chiffré approuvé ou d’un cloud sécurisé pour les données clients), le partage sécurisé des fichiers (en utilisant les fonctionnalités de la plateforme sécurisée de HGA plutôt que le courrier électronique pour les fichiers sensibles) et la minimisation des données (ne conserver que les données nécessaires). Les participants sont formés aux solutions de stockage de fichiers sécurisées fournies par HGA (telles que SharePoint ou les compartiments S3 chiffrés) et sont informés de l’interdiction de stocker des données professionnelles sur des appareils personnels ou des comptes cloud non approuvés. La formation couvre également la destruction sécurisée des informations : par exemple, le déchiquetage des documents physiques et la suppression définitive des fichiers électroniques lorsqu’ils ne sont plus nécessaires. Une attention particulière est portée à la protection des informations confidentielles des clients et des données personnelles rencontrées dans le cadre des projets de conseil, conformément aux politiques de confidentialité de HGA stipulées dans le contrat de consultant [12] [13] .
• Sécurité des appareils et protocoles de travail à distance : Ce guide explique comment sécuriser les ordinateurs portables, les smartphones et autres appareils, notamment lors du télétravail ou des déplacements. Il aborde les bonnes pratiques de sécurité des terminaux , telles que l’installation et la mise à jour régulière d’un logiciel antivirus/antimalware approuvé par HGA, l’activation des pare-feu et l’application régulière des correctifs de sécurité (avec l’aide du service informatique). Il est rappelé aux employés et aux consultants de ne jamais désactiver les contrôles de sécurité sur les appareils fournis par HGA. La formation couvre la sécurité physique des appareils : par exemple, ne pas laisser son ordinateur portable sans surveillance dans les lieux publics, verrouiller l’écran en cas d’absence et sécuriser les appareils pendant le transport (à l’aide de filtres de confidentialité, de verrous de sécurité pour câbles, etc.). Pour le télétravail, la politique exige l’utilisation de connexions sécurisées et chiffrées (VPN ou portail web sécurisé de HGA) lors de l’accès à la plateforme via un réseau Wi-Fi public, et l’interdiction d’utiliser des ordinateurs publics pour les activités professionnelles de HGA. Des conseils sont également fournis pour prévenir les fuites de données en cas de perte ou de vol d’appareils (par exemple, en utilisant le chiffrement des appareils et en sachant comment signaler immédiatement la perte d’un appareil afin que le service informatique puisse l’effacer à distance). Cette section intègre également le contrôle du travail à distance (ISO 27001 A.6.7) pour garantir que les télétravailleurs suivent des normes de sécurité équivalentes à celles en vigueur au bureau [14] .
• Lois sur la protection des données et la confidentialité : Formation aux principales réglementations en matière de protection des données, telles que le Règlement général sur la protection des données (RGPD) de l’UE et la loi californienne sur la protection des données des consommateurs (CCPA), afin de garantir que chacun comprenne ses obligations légales concernant les données personnelles. HGA traite les données personnelles de consultants et de clients à l’international ; la conformité est donc essentielle. La formation explique les principes fondamentaux du RGPD (bases légales du traitement, droits des personnes concernées, obligations de notification des violations de données, etc.) et leur application au quotidien. Par exemple, les employés et les consultants sont sensibilisés à l’importance du consentement et de la confidentialité lors du traitement des données personnelles et sont tenus de respecter les procédures de protection des données de HGA dans tous les projets [15] . Il leur est rappelé que HGA et ses consultants sont tenus de respecter les meilleures pratiques internationales en matière de protection des données, même dans les juridictions où ces lois ne sont pas encore applicables [15] . Des cas concrets (par exemple, la gestion d’une liste de contacts client ou de CV d’experts) illustrent les comportements conformes et non conformes. La formation aborde également les conséquences de la violation des lois sur la protection des données, tant pour l’individu (éventuelles sanctions disciplinaires) que pour l’entreprise (sanctions légales, atteinte à la réputation). Il est important de noter que la formation au RGPD est obligatoire : le RGPD impose explicitement aux organisations de former leurs employés au traitement des données personnelles conformément à la loi [3] . En intégrant les thématiques RGPD/CCPA, HGA s’assure que l’ensemble de son personnel sait comment protéger les données personnelles et respecter les droits à la vie privée, comme stipulé dans nos contrats et politiques.
• Menaces spécifiques à la plateforme (Plateforme numérique Humanics) : Sensibilisation à la sécurité adaptée à l’utilisation de la plateforme numérique HGA (DevTender). Les utilisateurs sont informés des menaces et des bonnes pratiques de sécurité propres aux fonctionnalités de notre plateforme. Par exemple, les consultants sont formés à se méfier des messages non sollicités provenant de la plateforme et pouvant être frauduleux (par exemple, une personne se faisant passer pour un administrateur ou un client HGA sur la plateforme afin d’obtenir des informations). Il leur est rappelé que les communications légitimes de HGA transitent par les canaux officiels et qu’ils doivent signaler toute activité suspecte sur la plateforme . Ce module aborde également la bonne utilisation des fonctionnalités de la plateforme : par exemple, le téléchargement de documents uniquement dans les zones sécurisées désignées, le respect des procédures de sécurité (par exemple, l’envoi par courriel de documents qui devraient transiter par la plateforme) et la compréhension du fait que la plateforme intègre des mesures de sécurité (chiffrement, authentification multifacteur, journaux d’audit [16] [10] ) que les utilisateurs ne doivent pas tenter de contourner. Les menaces telles que le partage de compte ou l’utilisation de mots de passe faibles sur la plateforme sont abordées ; les utilisateurs sont avertis que le partage de leurs identifiants de connexion avec des tiers (même des collègues) est interdit et engendre des risques de sécurité. Tous les outils d’IA ou intégrations de la plateforme (comme un assistant IA pour la mise en relation de consultants) sont également abordés sous l’angle de la sécurité, afin de garantir que les utilisateurs savent comment les utiliser sans exposer de données sensibles. En substance, cette section souligne que, malgré la mise en œuvre de mesures de sécurité robustes par la plateforme, la vigilance des utilisateurs et une utilisation correcte sont essentielles pour maintenir la sécurité globale [9] .
• Procédures de signalement des incidents : Des instructions détaillées expliquent comment signaler rapidement les incidents de sécurité, les violations de données suspectées ou toute activité inhabituelle. Tous les employés et consultants sont formés au plan de communication de réponse aux incidents de HGA. Cette formation porte notamment sur les types d’événements à signaler (par exemple : perte d’un ordinateur portable, infection par un logiciel malveillant, réception d’un courriel d’hameçonnage, découverte de l’envoi de données sensibles au mauvais destinataire, tout signe d’accès non autorisé aux systèmes ou aux données, etc.). Elle précise également comment et où effectuer le signalement : HGA met à disposition une adresse courriel dédiée et un formulaire sur son portail interne pour signaler les problèmes de sécurité. La formation insiste sur l’importance de la réactivité : les incidents doivent être signalés immédiatement, sans crainte de représailles . Le personnel est sensibilisé au fait qu’un signalement rapide aide HGA à contenir les problèmes (qu’il s’agisse d’une épidémie virale ou d’une fuite de données potentielle) et qu’il ne sera pas sanctionné pour les erreurs commises de bonne foi (culture du signalement sans reproche). Ceci est conforme à la norme ISO 27001, contrôle 6.8, qui exige des organisations qu’elles disposent d’un mécanisme permettant au personnel de signaler rapidement les incidents de sécurité [17] . Cette politique réaffirme également la clause du contrat de consultant stipulant que HGA et le consultant doivent s’informer mutuellement de toute violation ou incident de sécurité impliquant des données personnelles [18] . Notre formation garantit que chacun est conscient de cette responsabilité. Plus précisément, les consultants sont informés que s’ils soupçonnent une compromission des données d’un client ou un problème de conformité sur un projet, ils doivent alerter immédiatement l’équipe de sécurité de HGA. La formation fournit les informations de contact (adresse électronique du responsable de la sécurité, numéro d’assistance téléphonique, etc.) et présente un modèle de signalement simple et accessible. Elle décrit également la procédure suivie après un signalement : les étapes clés de la réponse aux incidents de HGA (analyse, confinement, notification aux parties concernées ou aux autorités compétentes si la loi l’exige, etc.), afin que les personnes effectuant le signalement comprennent le processus. L’objectif est de généraliser le signalement des incidents et de lever toute hésitation à signaler les problèmes.
• Autres sujets clés : Les thèmes abordés incluent la protection contre les logiciels malveillants (comment s’en prémunir grâce à une navigation web sécurisée et à de bonnes pratiques de messagerie, ainsi que le rôle des outils anti-malware), la sécurité physique (contrôle d’accès, badges d’identification), l’utilisation sécurisée des supports amovibles (privilégier les clés USB chiffrées, effectuer des analyses antivirus ou les éviter complètement), les bonnes pratiques de développement sécurisé (pour le personnel informatique et les développeurs, avec un aperçu de l’écriture de code sécurisé le cas échéant) et les risques liés aux réseaux sociaux et au partage de données (prudence lors de la publication d’informations professionnelles en ligne). Si HGA dispose de politiques spécifiques, telles qu’une charte d’utilisation acceptable ou une politique de bureau propre, ces règles seront également intégrées à la formation.

Cette liste n’est pas exhaustive, mais elle présente les domaines critiques que le programme de sensibilisation à la sécurité abordera régulièrement. HGA adaptera l’importance accordée à ces sujets en fonction des renseignements sur les menaces et des incidents rencontrés. Par exemple, si les tentatives d’hameçonnage ciblant les comptes HGA augmentent, nous pourrions intensifier la formation à la prévention de l’hameçonnage ou organiser des exercices de simulation d’hameçonnage dans le cadre de nos formations afin d’évaluer et d’améliorer le niveau de préparation. De même, si de nouvelles réglementations relatives à la protection de la vie privée entrent en vigueur dans une région où nous exerçons nos activités, nous mettrons à jour la section consacrée à la législation sur la protection de la vie privée en conséquence.

Sensibilisation au phishing : La prévention du phishing est une priorité absolue, comme l’illustre cet exemple de fausse connexion frauduleuse. La formation souligne que des courriels ou des liens d’apparence légitime peuvent être des tentatives malveillantes de vol d’identifiants. En effet, plus des deux niveaux des violations de données sont dus à une action humaine involontaire (comme cliquer sur un lien de phishing) [1] . Grâce à ce programme, les employés et consultants de HGA apprennent à se méfier des demandes inattendues, à vérifier l’authenticité de l’expéditeur et à réfléchir avant de cliquer. Des exemples concrets de phishing (et leurs signes révélateurs, tels que les URL mal orthographiées ou un langage urgent) leur sont présentés afin de s’entraîner à identifier les signaux d’alerte. En renforçant ces compétences, la formation de HGA vise à réduire considérablement le risque d’incident de sécurité lié au phishing sur notre plateforme ou notre réseau. Chacun est encouragé à signaler immédiatement les tentatives de phishing afin que le service informatique puisse alerter les autres et renforcer les défenses. En résumé, la responsabilité incombe à chaque utilisateur, de la direction générale à chaque service. Les RH et le service informatique/sécurité administrent et soutiennent le programme, les responsables le renforcent et chaque employé ou consultant le met en œuvre. La collaboration entre ces différents rôles garantit le succès de l’initiative de sensibilisation à la sécurité.