Salut à tous !
 
Je suis en train de travailler sur une thèse professionnelle dont le sujet est :"L'Humain au cœur de la sécurité des systèmes d'informations" pour valider un niveau Bac +5.
 
Pour ça, j'ai fait un petit questionnaire de 11 questions et j'apprécierai si vous pouviez y répondre et SURTOUT le faire tourner.
 
https://docs.google.com/forms/d/e/1 [...] sp=sf_link
 
Je suis certain qu'il y a plein de gens bons sur ce forum    
 
Merci en tout cas, vous me donner un réel coup de main !
 

Hm.
 
Pour avoir tout bon faut s'être fait piraté.
 
Que c'est triste

Pas facile de décider quelle réponse est la bonne.
Mais je pars du principe que celui qui ne s'est pas fait pirater, ça ne veut pas dire qu'il suit les bonnes pratiques.
Alors que celui qui s'est fait pirater, au moins, il fera gaffe.
 
Après, c'est discutable  

C'est potentiellement parce que je suis les bonnes pratiques (et que je travaille dans le milieu) que je n'me suis pas fait piratay sooo =)

mince, on n'a pas notre score à la fin ?

Normalement, si  
Un score sur 11.

Edit : A priori, tu as 9 ou 10 sur 11, je ne sais pas si tu es le dernier ou l'avant dernier à avoir répondu.

10 !

10
 

idem, j'ai pas trop saisi pourquoi le fait de ne s'être jamais fait pirater est une mauvaise réponse.....
 
"C'est pas vraiment une mauvaise réponse, mais ceux qui ont déjà été piratés connaissent les problèmes que peuvent engendrer le manque de vigilance"
mouais... j'en connais qui se font ba*ser régulièrement, et c'est pas pour autant qu'ils font gaffe !!!

Je me demandais combien de gens allaient râler avec cette question.
Et si tu t'es jamais fait pirater, ça veut dire que tu fais tout bien ?

Si tu veux, je veux bien considérer que tu as 11/11

Edit : c'est complètement subjectif hein ! Y'a rien d'officiel avec cette enquête. Je veux vexer personne, juste avoir des tendances. A la base je voulais pas mettre de score, mais finalement je me suis dit que ça motive à répondre.
Edit 2 : Le pb en postant ici, c'est que y'a que des informaticiens qui répondent... J'aurai peut-être pas dû.

@MODO : je peux poster ça dans la section discussions / général ???

ou que je fais rien
mais en effet, jusque la, comme je suis plutôt prudent par nature, jamais eu de soucis.
 

le score je m'en tape. j'aurais eu 2 que ça aurait été pareil.
comme tu l'a mis dans la page de recap du score, c'est ni une bonne ni une mauvaise réponse.
du coup, je sais pas si tu as moyen de ne pas compter dans le score la réponse a cette question, ou alors de considérer les 2 comme bonnes ?
 
 

en effet, dans la section, pro, bah ya plutôt des pro (normalement )
madame michu, c'est pas la    

Ouais.
Je vais tenter la section "général", quitte à me faire jeter par un modo...
 
Après, c'est surtout sur vos partages que je compte. J'ai des gars de chez Konica qui ont partagé à toute leur agence (60+ réponses quand même). En général, c'est assez bien accueilli.

Certaines questions ne sont pas vraiment pertinentes dans le contexte d'une évaluation d'un utilisateur.  
 
L'utilisateur est pas responsable du fait que son service info procède à des sensibilisations...

Oui, d'accord.
Le but de cette question est de voir la mobilisation des SI pour sensibiliser les utilisateurs.

11/11 pour moi

Salut,
 
L'idée de ce genre de questionnaire est bonne, par contre, celui-ci ne me semble pas assez aboutit pour que je le diffuse.
 
En plus des remarques déjà faites,
- ce questionnaire mélange des risques qui concernent l'entreprise avec des risques ne la concernent pas forcement (smartphone, mot de passe équipements persos ...).  
- Il y a plusieurs questions dont la réponse n'est pas "absolue" et nécessiterai des précisions. Exemple : une personne a déjà donné son mot de passe à "quelqu'un", OK c'est "mal" mais quel mot de passe et à qui ? C'est pas la même chose de donner le mot de passe de son PC perso à son conjoint et de donner le mot de passe de son accès VPN pro à un gars croisé dans la rue.
- Dans certain contexte des réponses que tu considère comme "bonnes" pourraient être une faute. Exemple : il y a des boites qui exigent qu'on remonte au service informatique tous les mails "douteux" et pas seulement qu'on les ignore.
 
Il serrait peut être intéressant de créer un topic pour mettre au point ensemble à une nouvelle version de ce questionnaire ...
 
A+
 

Salut Eusebius et merci pour ton retour.
 

C'est pour ça que j'ai fait des rubriques :

• Généralités
• Authentification
• En entreprise
• ...

Le scoring n'est là que pour inciter les gens à répondre. Il va de soi que toute réponse est discutable. Je peux pas non plus demander d'être trop précis, il faut que le questionnaire soit court et accessible à tous. Comme je le dis en intro : "Ne vous sentez pas réduit à cette évaluation tout à fait simpliste".
D'ailleurs, c'est surtout les gens qui ne sont pas dans les métiers des SI que je vise, ce sont eux qui vont révéler les tendances générales.
 
Quelqu'un qui connait le milieu (comme toi) sait pertinemment que les résultats que je donne ne sont pas absolus, sont totalement discutables et dépendent du contexte. Ce qui m'intéresse via ce questionnaire, ce sont les tendances des réponses, absolument pas le score, ça, c'est juste pour faire joli. Si je faisais un questionnaire pour l'INSEE, je m'y serai pris autrement.  
 

Dans la mesure où il a été diffusé à grande échelle depuis la semaine dernière, je ne vais pas en faire un autre et dire à tout le monde : "vous voulez pas faire celui-là aussi ? Il est mieux". Mais c'est sympa de proposer  

On a bien compris que la note n'était pas importante, on te dit juste que sur de nombreux points ton questionnaire manque de cohérence. Rien que le titre ne correspond pas totalement avec le contenu.

Un questionnaire ça se réfléchit pour avoir des résultats pertinents, et on essaie gentiment de te faire comprendre que t'as pas assez planché dessus. Si tu refuses la critique, c'est pas grave, mais en master je pense que tes profs en attendent davantage.

La bonne attitude aurait été de consulter tes profs avant de diffuser, voire des étudiants en socio/sciences humaines qui sont habitués de ce genre d'exercice.

j'ai du mal a l'utilisation de certain terme
 
1 Quel est le plus grand risque en sécurité informatique selon-vous?  
Les gens <-- bof, je parlerai plutôt "d'utilisateur"
Dans les oceans de menaces tu en indique pas beaucoup. Tu peux trés bien avoir un virus qui a une attaque cible
tu pourrais parler aussi
-Hameçonnage
-Pourriel
-Attaque par déni de service
-Vol d’appareils portatifs ou mobiles
-Logiciel espion ou cheval de Troie
-Ransomware
 
 
2 Vous êtes-vous déjà fait pirater des données, un compte, une carte bancaire ou autre ?  
j'aime bien ce genre de question !
 
 
Tu pourrais ajouter.
Utilisez vous les mêmes mot de passe pour vos applications/site internet professionnel et personnel ?

Salut Erlum,
 
Pas de problème avec la critique , j'ai juste le sentiment de devoir me justifier pour chaque question, pour le titre et pour tout ce que j'ai mis dedans.  
   
 
Rien de positif n'en ressort sur HFR et c'est très frustrant. Mais je suppose que c'est comme ça quand on poste sur des forums spécialisés : le fait de ne pas se voir de visu fait qu'on interprète les messages, un peu comme les textos. Et là, à vous lire, j'ai l'impression qu'il faudrait que je le sorte complètement de mon travail et qu'il est bon à jeter.  
 
 
 
J'y ai planché près de 4h avec l'aide de profs, c'est insuffisant ? "Hé bé il est mauvais ton prof".
 
Après, tout ça est heureusement appuyé/complété avec des interviews d'experts en SSI et de psychologues du travail. Y'a pas uniquement ce questionnaire dans mon travail.

Merci Skoizer.

 
Pour la 1, je ne voulais pas mettre "utilisateurs", c'est un terme utilisé essentiellement par les admins, je ne voulais pas créer ce cloisonnement. Je ne voulais pas non plus mettre un liste trop détaillée car ce questionnaire vise surtout des personnes qui ne savent pas ce qu'est un DDoS, Ransonware, cheval de troie etc.
 
Pour la dernière, j'y avais pensé, mais j'ai essayé de restreindre le nombre de questions pour pas que ça soit trop long.
 
   

 
Le point clef qu'il faut que tu comprennes, c'est que la pertinence des conclusions que tu tireras de ton questionnaire seront nécessairement limitées par la qualité de celui-ci. Clairement, faire un questionnaire, ça prend du temps. Le champ doit être bien défini pour éviter de polluer les résultats, les questions doivent être posées de sorte à ne pas influencer le questionné... C'est un métier, je t'assure, et 4h c'est rien pour ça vu la plus-value que ça peut apporter à ton travail.

J'ai trouvé également boff "les gens" à la lecture, utilisateur restant une personne qui utilise l'outil informatique (nous sommes tous des users, poweruser pour certain, mais user néanmoins ). Deux propositions :
 
Le truc entre la chaise et le clavier;
Facteur humain;
 

pour moi "les gens" c'est péjoratif, cela fait "populasse"
peu être "les utilisateurs des equipements", "les usagers du numérique"
 
 
logre : Je dirai "ERREUR 40" (a 40cm du clavier )
 
Le probléme c'est comme tu le dit si bien HFR, tu t'adresse a des acteurs qui sont déjà trés largement impliqué par la sécurité.
Le mieux c'est d'aller voir gégé à la compta!
 
brutax ton travail est intéressant. Cela pourrait être un outil pour former nos utilisateurs (si nous avions un RSSI)

 
4h ? Oui, pour moi c'est largement insuffisant ...
 
Si c'est une part aussi peu importante de ta thèse, diffuse ton questionnaire auprès
de tes proches, ne demande pas à des professionnels de prendre eux même du temps
et d'en faire prendre (perdre ?) à leurs "utilisateurs".
 
Si tu veux obtenir des résultats valables (ie. exploitables pour ta thèse), il faudrait
probablement travailler quelques dizaines d'heures la dessus à plusieurs, impliquer  
d'autres profiles comme proposé par Erlum et faire plusieurs aller-retours avec  
une population de test (aussi bien utilisateurs lambda que pro).
 

 
A+
 
PS : je n'ai pas le temps de chercher mais je suis quasi certain que des questionnaires
de ce type existent déjà (au moins en anglais) et pourraient te servir de base de travail.

Merci à tous pour vos retours.

Effectivement : c'est un métier, et pas le mien qui plus est. D'où les imperfections. Je savais pertinemment en le préparant qu'il était loin d'être parfait, mais certains points sont exploitables. Le but est d'en faire un appui et non pas le centre de mon travail.
 

La couche 8 du modèle OSI ?  
 

Quand on rédige une thèse professionnelle (!= thèse de recherche), on fait beaucoup de choses, on lit beaucoup d'articles, mais on ne garde qu'un faible pourcentage de tout ça.
 
J'espérais, en postant ici, toucher quelques admins qui diffuseraient auprès d'utilisateurs. J'espérais profiter d'un effet boule de neige, mais je me suis trompé, c'est pas Facebook ici. C'est justement ce que j'ai fait à côté, diffuser sur FB, à mes proches, sur LinkedIn...
 
Comme je le disais, ce questionnaire a une visée d'appui pour mon travail et n'en constitue pas le centre. Des tendances me suffisent, j'ai pas besoin de statistiques ultra précises. Je mise surtout sur la quantité de réponses (250 en ce moment). La statistique n'étant pas mon métier, et au vu du temps et des moyens limités dont je dispose, passer des dizaines d'heures et solliciter des pros pour le mettre en place n'est pas pertinent.
 
Pour ce questionnaire, j'ai plus besoin de l'avis des utilisateurs que des admins, RSSI, RSI, DSI etc.
 
Effectivement, il y a pas mal de questionnaires en ligne, je m'en suis servi pour d'autres parties de mon travail.
 
Par ce que anéfé, je vous ai balancé ça comme ça, mais y'a bien plus que ce questionnaire hein !
 
Pfiou !
bon, allé, j'arrête, on n'est pas sur un débat politique des présidentielle ici !    
Vos remarques sont très pertinentes, je m'y prendrai autrement pour le prochain, en attendant, là, je fais avec, il est au moins en partie exploitable.

salut à toi,
il y a confusion sur pas mal de notion : risque, maturité, connaissances, pratiques..
Je ne veux pas critiquer négativement ton travail, juste apporter un point de vue qui j'espère le fera évoluer.

Le risque entre dans une approche particulière qui vient à identifier les activités ou informations vitales pour l'entreprise/organisation.
la gestion du risque est comment répondre à ce qu'on a identifié (pour faire bref).

l'humain au coeur du SI, il me semble que c'est l'information qui est au coeur du SI

la SSI consiste à sécuriser l'information.
Les "gens" sont des utilisateurs du SI, des usagers des moyens mis en oeuvre pour traiter l'information.
Ils peuvent être à l'origine d'incidents de sécurité, mais c'est leur USAGE des moyens informatiques le risque.

je pense qu'il aurait été plus pertinent de faire un questionnaire concernant les usages des moyens informatiques plutôt que leurs connaissances en la matière.
Comme base de travail, se reporter aux guides ANSSI
par exemple si tu veux évaluer les pratiques des utilisateurs  : le guide des bonnes pratiques (12 points thématiques sur lesquels tu peux orienter ton questionnaire) https://www.ssi.gouv.fr/guide/guide [...] ormatique/

si tu veux évaluer la maturité et faire une préanalyse du risque sur le SI, là y'a forcément plus de vecteurs que juste les utilisateurs, et le guide d’hygiène peut servir de base. https://www.ssi.gouv.fr/guide/guide [...] ormatique/

Ces 2 sources sont une excellente base pour démarrer.

Sincèrement, j'ai du mal à comprendre les conclusions que tu peux tirer de ton questionnaire, et surtout ce que tu peux en déduire pour alimenter une thèse.
Il y a des points intéressants, mais enrichis-les autour des 12 thèmes du guide des bonnes pratiques par exemple.

je ne connais pas le contenu de ta thèse, mais l'humain (enfin, ses pratiques ) est en effet un domaine de préoccupation de la SSI (il y en a bcp d'autres).
autour de ce risque "humain" tu peux en effet amener :
- les usages : avec les moyens de traiter les risques (politiques PMSI+contrôles sur les thèmes Accès, Droits, shadow IT,...)
- la connaissance des utilisateurs : et pour traiter => politique et plan de sensibilisation
- la maturité de "les gens" sur la sécurité : qui peut être abordé comme un mix des pratiques + connaissances

Merci San Marco,
 
Effectivement, j'avais déjà vu ces documents de l'ANSSI. Ils m'ont bien aidés pour mon travail, j'en ai aussi consulté beaucoup d'autres.
 
"L'humain au coeur de la SSI" (et non du SI ) consiste à comprendre les facteurs psychosociaux qui peuvent expliquer le comportement parfois négligent des utilisateurs vis-à-vis de la SSI : négligence volontaire ou non (vandalisme, sabotage, méconnaissance, ignorance) par exemple, ou trop grande confiance dans le SI et dans les moyens techniques de sécurisation.
 
Une question que je creuse par exemple (qui n'est pas la problématique) : comment créer une relation socio-technique saine ? Il y a par exemple des gens (et c'est vrai !) qui font des crises d'angoisse rien qu'en approchant une souris, et qui tombent dans les pommes et tout ! Alors pour leur faire comprendre les enjeux de la SSI à ceux-là, on fait comment ?  
 
Ce questionnaire a simplement pour but de voir les tendances générales sur les comportements de chacun et le niveau de connaissance général sur le sujet.
 
Ma thèse ne s'appuie pas uniquement sur ça (heureusement), mais quand je vois par exemple que 90% des personnes ont répondu qu'ils ne se feraient pas avoir par l'email de phishing alors qu'avec un test réalisé en grandeur nature plus de 50% se plantent, ça me permet de voir qu'il y a un écart entre "ce que je sais" et "ce que je fais".  
 
Merci en tout cas, je prends bonne note de tout ça