Diagnostic des usages
Le Diagnostic des usages est un outil d'évaluation qui permet de mesurer les pratiques réelles de cybersécurité des collaborateurs au sein d'une organisation. Contrairement aux audits techniques traditionnels, ce diagnostic se concentre sur les comportements humains et l'usage quotidien des outils numériques.
Concept
Les utilisateurs de l'organisation reçoivent des discussions ciblées et ludiques qui les sensibilisent à la cyber et obtient des informations sur leurs usages numériques du quotidien. C'est 3min / jour pendant une dizaine de jours.
La plateforme automatise tout : notifications, relances, résultats, analyse.
Objectif
Identifier les écarts entre les politiques de sécurité définies et les pratiques réelles des utilisateurs, afin de :
Détecter les zones de risque comportementales
Prioriser les actions de sensibilisation
Mesurer l'efficacité des formations et mesures existantes
Obtenir une vision terrain de la culture cyber de l'organisation
Principe de fonctionnement
Le diagnostic prend la forme de discussions conversationnelles courtes et engageantes, envoyées directement à tous les collaborateurs inscrits dans le diagnostic des usages.
Ces échanges durent en moyenne 3 minutes par jour et couvrent différentes thématiques de cybersécurité.
Nous recommandons d'inclure l'intégralité des effectifs dans le diagnostic des usages, car l'intérêt est justement de découvrir et analyser tous les comportements existant. Cependant, la liste exacte des inscrits est configurable librement (cf. Diagnostic des usages)
Format conversationnel
Contrairement aux questionnaires traditionnels, le diagnostic utilise un format de discussion interactive qui :
Sensibilise les utilisateurs aux bonnes pratiques cyber
Pose des questions dans un langage naturel, ludique et drôle
Capte les informations terrain sur les véritables usages numériques au sein de l'organisation
Maintient l'engagement tout au long du parcours
💡 Retour utilisateur : "J'ai beaucoup aimé ces discussions en ligne qui ont la bonne durée, on ne se sent pas submergé d'informations et on retient l'essentiel 😊"
Les utilisateurs non-admin ont une interface présentant seulement leurs discussions ainsi que l'état d'avancement des autres membres de l'équipe :
Thématiques couvertes
Le diagnostic évalue les pratiques des collaborateurs sur 8 domaines clés :
Organisationnel : Comment les pratiques organisationnelles sont-elles appliquées en interne et quelles bonnes pratiques sont appliquées ?
Les actifs : Comment les pratiques organisationnelles sont-elles appliquées en interne et quelles bonnes pratiques sont appliquées ?
Le matériel : Comment le matériel est-il géré en interne et quelles bonnes pratiques sont appliquées ?
Les applications : Comment les applications sont-elles gérées et sécurisées dans l'organisation ?
Web & Emails : Comment la sécurité web et email est-elle gérée dans l'organisation ?
Les locaux & la sécurité physique : Comment la sécurité physique des bureaux est-elle assurée ?
Les mots de passe & les usages : Comment les mots de passe sont-ils utilisés en interne et quelles bonnes pratiques sont appliquées ?
Les usages de l'intelligence artificielle : Comment l'intelligence artificielle est-elle utilisée et sécurisée dans l'organisation ?
Analyse des résultats
Les informations découvertes sont restituées, mises en contexte et proposées sous la forme d'un rapport dynamique :
On y retrouve :
Le taux d'avancée des différents utilisateurs, en cohorte ou individuellement
Les scores évalués sur chaque thématique à partir des réponses des participants
L'analyse des réponses sur chaque point de diagnostic
Les conseils Qontrol lorsque les pratiques peuvent être améliorées
Ces résultats sont exportables dans un rapport PDF.
Configuration et déploiement
Le diagnostic des usages est entièrement automatisé par la plateforme : vous fixez la date de départ ainsi que la liste des membres.
Les utilisateurs choisis auront alors leur propre espace Qontrol et des emails de notification les inviteront à répondre lorsqu'une nouvelle discussion sera disponible pour eux.
Les résultats apparaissent au fil de l'eau dans la page dédiée (pour les utilisateurs Admin seulement).
Période du diagnostic
Date de début : C'est la date à laquelle le premier email de notification partira aux utilisateurs pour leur première discussion sur la plateforme.
Date d'enrôlement : Pendant 7 jours après le début du diagnostic, la liste des membres est modifiable. Au bout de 7 jours, la liste des membres est figée, pour que cela constitue un véritable diagnostic à un moment donné.
Futurs participants : Pendant les 7 premiers jours, si de nouveaux membres sont invités, ils peuvent être automatiquement intégrés au diagnostic (dans le cas contraire, il faut éditer la liste des membres manuellement dans l'écran de restitution).
Fréquence des réponses sollicitées
L'administrateur choisit le rythme auquel les utilisateurs répondent aux discussions.
Qontrol recommande le rythme d'une discussion par jour.
C'est un bon milieu pour :
Avoir les résultats sous environ 15-20 jours pour toute l'équipe
Être apprécié par les utilisateurs (pas trop insistant)
Mener à une sensibilisation efficace (micro-learning)
On peut pas permettre aux utilisateurs de traiter tous les questionnaires d'un coup - même s'ils sont en retard. Pourquoi ? Nous avons noté que permettre toutes les réponses en une fois peut mener à une moins bonne mémorisation des contenus de sensibilisation, ou à des dynamiques néfastes (tout faire d'un coup sans prêter attention, etc.)
La liste des membres
Vous pouvez ajouter les adresses email une par une ou pas un import CSV/XLSX.
Déploiement
Le diagnostic est envoyé par email aux collaborateurs sélectionnés, en commençant à la date choisie. L'email contient :
Une présentation claire de l'objectif
Un lien personnalisé d'accès au diagnostic
Des relances sont faites tous les quelques jours, dans la limite d'environ 5 emails.
L'équipe doit idéalement être prévenue en amont de la date de départ pour que la démarche soit comprise et suivie de manière optimale.
Si vous pouvez, inscrivez le domaine @qontrol.io dans la liste blanche des boîtes mail de l'organisation, cela évitera tout passage en spam des notifications (rare mais possible).
Suivi des réponses
Le tableau de bord vous permet de suivre en temps réel :
Le taux de participation
Le nombre de réponses et indices extraits
Les résultats intermédiaires - lorsqu'un nombre suffisant de réponses a été reçu
Rappels automatiques : Des relances sont envoyées automatiquement aux collaborateurs n'ayant pas encore complété le diagnostic.
Anonymat et confidentialité
Important : Les réponses individuelles restent anonymes. Seules des données agrégées sont présentées pour encourager des réponses honnêtes.
Bonnes pratiques
Avant le lancement
Communiquer en amont : Informez les collaborateurs de l'objectif du diagnostic et de son caractère anonyme
Choisir le bon timing : Évitez les périodes de forte activité ou de congés
Pendant le diagnostic
Monitorer la participation : Consultez régulièrement le tableau de bord de suivi
Relancer les non-répondants : Contactez directement les équipes si vous voyez que les rappels automatiques de la plateforme ne suffisent pas chez certains
Rester disponible : Répondez aux questions des collaborateurs sur l'objectif du diagnostic
Après le diagnostic
Analyser rapidement : Consultez les résultats dès que possible pour maintenir l'élan
Communiquer les résultats : Partagez les grandes lignes avec l'organisation (scores globaux, points forts)
Élaborer un plan d'action : Définissez des actions concrètes basées sur les opportunités d'amélioration identifiées
Assurer le suivi : Mettez en œuvre les actions et mesurez leur impact lors du prochain diagnostic
FAQ
Combien de temps prend un diagnostic ?
En moyenne, les collaborateurs complètent le diagnostic en 3 minutes / jour pendant une dizaine de jours.
Les résultats arrivent majoritairement une quinzaine de jours après le début.
Les réponses sont-elles vraiment anonymes ?
Seules des données agrégées sont présentées. Cela garantit des réponses honnêtes des collaborateurs.
Les réponses peuvent être singularisées seulement si des sujets graves de sécurité doivent être adressés (vulnérabilité majeure détectée, etc.)
Peut-on personnaliser les questions ?
Les questions sont standardisées pour garantir la pertinence et la comparabilité des résultats.
Combien de personnes peuvent participer ?
Il n'y a pas de limite au nombre de participants. Le Diagnostic des usages peut être déployé auprès de quelques collaborateurs comme de plusieurs centaines ou milliers.
Dans tous les cas, les résultats permettent d'identifier des éléments jusque-là inconnus et déterminants pour les chantiers cyber à mener.
Les résultats sont-ils comparables entre organisations ?
Oui, les scores permettent une comparaison générale. Cependant, chaque organisation a ses spécificités (secteur d'activité, taille, maturité) qu'il convient de prendre en compte dans l'interprétation.
L'analyse d'un vCISO professionnel est recommandé pour tirer le meilleur parti des résultats.
Peut-on faire plus de réponses par jour ?
C'est l'administrateur qui choisit le rythme de réponse activé pour les utilisateurs :
Nous avons noté que permettre toutes les réponses en une fois peut mener à une moins bonne mémorisation des contenus de sensibilisation, ou à des dynamiques néfastes (tout faire d'un coup sans prêter attention, etc.)
C'est pourquoi Qontrol impose une fréquence fixe et pas trop rapide.
Mis à jour