web-dev-qa-db-fra.com

Comment rédiger un e-mail concernant la sécurité informatique qui sera lu et non ignoré par l'utilisateur final?

J'ai remarqué que plusieurs de nos utilisateurs ignorent les messages envoyés par les responsables de la sécurité informatique, ainsi que les notifications générées par le système "Vous venez d'envoyer un virus".

Le problème semble concerner les personnes qui ne sont pas des connaisseurs en informatique, qui ne sont en aucun cas hostiles à IT SEC. Ce ne sont tout simplement pas des gens "informatiques".

Quels conseils existe-t-il pour garantir que les responsables informatiques et les notifications système sont compris et appliqués? Je voudrais rédiger un message unique pour l'ensemble de la base d'utilisateurs et ne pas prendre la responsabilité de tenir les gens "spéciaux".

J'espère que je pourrai développer un ensemble de meilleures pratiques de messagerie électronique utilisées lors de la communication avec tous les utilisateurs finaux, dans le but d'envoyer des notifications aux utilisateurs de la sécurité informatique par courrier électronique.

  • Comment dois-je exposer les pensées derrière le message?
  • Les messages HTML sont-ils plus efficaces? Comment?
  • Y a-t-il des échantillons coupés-collés?
  • L'adresse "De" est-elle importante?
  • Que doit dire le sujet?

Des exemples de notifications incluent (mais sans s'y limiter):

  • Messages électroniques automatiques des systèmes Antigen ou Forefront AV
  • Révisions de la politique de sécurité informatique
  • Notifications générales simplement informatives
    • "La maintenance sera effectuée de 23h à 6h. Attendez-vous à une interruption de service"
  • Notifications générales destinées à être lues et mises à exécution. Ils s'appliquent à l'utilisateur final.
    • "Fermez toutes les applications et déconnectez-vous pour les correctifs"
  • Autres notifications pouvant s'appliquer ou non à l'utilisateur final.
    • Courriels récapitulatifs de la quarantaine SPAM: "Vous trouverez ci-joint une liste des messages mis en quarantaine ..."
    • "Un correctif de sécurité pour une ancienne version d'un logiciel qui pourrait ne pas être installé"

Cette question était Question de la semaine sur la sécurité informatique.
Lisez le 26 août 2011 entrée de blog pour plus de détails ou soumettez le vôtre Question de la semaine.

77
goodguys_activate

Un petit truc que j'ai appris il y a des années - mettez votre e-mail comme ceci:

version courte

  • Petit nombre de points succincts très courts
  • Si X, alors vous devez le faire
  • Sinon, vous devez le faire (ou vous n'avez rien à faire)

Version longue ou Détails complets

... et vous disposez ici de la version complète que vous souhaitez.

97% de vos utilisateurs ne liront jamais la version longue, alors comptez la version courte. Cependant , la clé ici est que la plupart des utilisateurs liront la version courte s'ils ont le choix entre et la version longue . Lorsque vous insérez cet en-tête de section "Version courte", vous les incitez à lire cela car ils ont l'impression qu'ils peuvent "s'en tirer" en lisant simplement la version courte. C'est, comme, de la psychologie ou quelque chose.

Beaucoup de vos utilisateurs ne liront toujours pas les messages quoi que vous fassiez . Cependant, j'ai obtenu de meilleurs taux de succès avec cette méthode.

103
gowenfawr

Comme @ gowenfawr dit de nombreux utilisateurs ne liront pas les messages quoi que vous fassiez .

Donc, dans les cas où vous devez garantir que le message a été transmis au cerveau et non seulement à la boîte de réception ou à la suite donnée, ce dont vous avez besoin est un mécanisme de rétroaction.

Cela peut être simple, en utilisant une approche sociale - par exemple, poser aux utilisateurs une question essentiellement fausse tout en fournissant des informations. Par exemple, si vous fournissez plusieurs méthodes pour traiter un certain problème, vous pouvez leur demander de vous dire laquelle convient le mieux à leur travail ou leur demander de les commander selon leur convenance et d'insister sur la réponse. Les personnes qui ne répondent pas ne l'ont probablement pas lu et vous pouvez les contacter.

Vous pouvez aller plus loin et créer un test rapide dont ils ont besoin pour prouver qu'ils "ont reçu le message" (cela provoquera des plaintes, mais est efficace et si vous obtenez le feu vert de la direction, cette approche peut vraiment changer certaines choses).

19
Unreason

Je me considère comme ayant des compétences techniques élevées et je me retrouve généralement à parcourir ou simplement à ignorer ce genre de messages moi-même. Cependant, j'installais récemment un produit Google qui avait l'en-tête suivant:

Please read this carefully - It's not just the usual yada yada.

En raison de la nature légère de cela, je me suis retrouvé à lire attentivement les documents et j'ai commencé à utiliser cette technique dans mon travail.

J'ai constaté que les utilisateurs lisent généralement les messages administratifs lorsqu'une connexion physique/psychologique est établie entre l'administrateur système et l'utilisateur. Dans le cas de Google, c'était une remarque farfelue.

Une autre méthode qui a fait ses preuves consiste à ajouter de l'interactivité à votre message avec un récompense très claire pour l'interaction. Quelque chose de simple comme "Seriez-vous d'accord avec OUI | NON" ou le pouce levé/baissé pour certaines politiques, et une récompense de crédit d'impression, par exemple.

15
Greg

Quelques points qui me viennent à l'esprit:

  • Soyez concis et précis. Les messages trop longs sont généralement supprimés.

  • Catégorisez le message en utilisant le sujet: maintenance, avis, important. Et expliquez le sujet (mais brièvement).

  • Si possible, configurez le client de messagerie pour coloriser les en-têtes de messagerie par défaut. Avec un ensemble cohérent de règles, vous pouvez obtenir plus d'attention. Faites une chose importante en rouge, mais n'en abusez pas.

  • Enfin, formez votre utilisateur. Organisez des séances de sensibilisation pour leur apprendre à réagir. Le message de maintenance est-il important? Que dois-je faire lorsque je reçois un avis important? Qui m'envoie un avis?

11
M'vy

Un point est d'envoyer des e-mails uniquement lorsqu'il est important et essentiel qu'ils soient lus - ne les utilisez pas pour des newsletters normales ou des informations ennuyeuses - les utilisateurs apprendront à les ignorer très rapidement.

Pour une sensibilisation générale à la sécurité, utilisez à chaque fois différents mécanismes et rendez-les intéressants, en vaut la peine ou en cas d'échec: obligatoire, avec l'approbation annuelle de la politique d'utilisation acceptable de l'entreprise par exemple.

Comme l'a dit @RobertDavidGraham - ne leur envoyez pas d'e-mails de maintenance - ceux-ci devraient de toute façon provenir des opérations ou de la gestion des changements.

11
Rory Alsop

Je pense que vous ne pouvez pas regarder un seul message électronique. Après avoir vu nos groupes IT et ITSEC évoluer au fil des ans, j'ai remarqué que leur perception commune est liée au corps global des e-mails qu'ils éteindre, rien ne se corrige avec seulement quelques bons e-mails.

Voici quelques réflexions générales:

  • n'utilisez pas un seul moyen de communication - Je sais que vous voulez résoudre ce problème avec 1 e-mail succinct, mais cela n'est peut-être pas possible. Lorsque quelque chose est important - envoyez-le plusieurs fois et informez les utilisateurs des répétitions. Chaque fois qu'une information est disponible par e-mail, ayez également une archive sur le site interne de l'entreprise que les utilisateurs peuvent consulter facilement, et ayez-la en haut de la pile pour les gars qui font du support téléphonique. Lorsque c'est absolument critique, pensez à afficher des panneaux aux sorties principales.

  • aidez les utilisateurs à prioriser - vous avez déjà répertorié une belle collection de types de messages typiques. Certains d'entre eux sont absolument indispensables (c'est-à-dire que nous mettons à jour votre ordinateur, si vous ne faites pas ce que nous vous disons, il vous faudra 3 jours pour récupérer sur un système fonctionnel), certains sont des changements mineurs qui peuvent ne pas les affecter. Pour les gros trucs, frappez-les fort. Pour les trucs mineurs - donnez-leur les outils, dès le départ, pour déterminer s'ils s'intègrent dans un groupe touché. Cela signifie que vous devrez en savoir suffisamment sur vos utilisateurs et sur la façon dont ils se définissent pour donner à votre public une base de référence.

  • soyez conscient, dans l'ensemble, de votre rapport bruit/volume - les messages quotidiens, aussi bien intentionnés soient-ils, seront ignorés. Les utilisateurs ne se soucient pas beaucoup de la sécurité. Regroupez les grands changements d'impact, trouvez un moyen de montrer les informations FYI de faible priorité comme étant de faible priorité, et soyez globalement conscient de la quantité d'informations que votre service publie dans son ensemble.

7
bethlakshmi

Lol.

La première chose est de réaliser que les utilisateurs ignoreront généralement tous vos e-mails. Arrêtez d'imaginer que ce problème peut être résolu.

Certes, il y a des choses que vous pouvez faire pour que vos courriels soient lus par PLUS d'utilisateurs.

Non, les messages HTML ne sont pas meilleurs. Des études ont montré que les utilisateurs accordent plus d'attention aux messages texte et aux pages HTML.

Plus l'e-mail est court, mieux c'est. Plus le courrier électronique est long, plus l'utilisateur est susceptible de l'ignorer. Ou, si l'utilisateur le lit, il ne lira que les deux premières phrases. Considérez la pyramide inversée des articles de journaux: le bit le plus important se trouve dans la première phrase, le premier paragraphe, la première section. Plus vous descendez l'article, moins l'information devient importante, en partie parce que les lecteurs sont susceptibles de s'ennuyer et de se mettre en liberté sous caution avant de terminer l'article.

Arrêtez de leur dire quoi faire. "Fermez toutes les applications et déconnectez-vous pour patcher" est un stupide e-mail. Une meilleure solution est "Votre système sera redémarré pour les correctifs; si vous avez des applications ouvertes, vous risquez de perdre des données".

Arrêtez de leur envoyer des e-mails inutiles comme "La maintenance sera effectuée à 23 heures-6 heures. Attendez-vous à une interruption de service". De toute façon, cela ne s'applique pas à 99% des utilisateurs, alors pourquoi déranger tout le monde avec quelque chose qui s'applique à 1% des utilisateurs? Ces personnes qui travaillent tard le soir savent que les perturbations sont probablement dues à l'entretien de toute façon.

Plus vous envoyez d'e-mails, plus ils sont susceptibles d'être ignorés. Envoyez le moins possible - ou même moins.

Arrêtez de phishing vos utilisateurs, par exemple, en leur disant qu'ils doivent installer un correctif. Lorsque vous leur envoyez de tels e-mails légitimement, ils sont plus susceptibles d'être victimes d'attaques de phishing qui semblent identiques aux e-mails que vous avez envoyés, mais qui pointent vers un faux correctif.

Oui, l'adresse FROM est importante. Oui, le sujet est important. Vous pouvez supposer qu'ils lisent la ligne d'objet - et que c'est généralement la seule chose qu'ils lisent. Bien sûr, si vous essayez de mettre l'intégralité de l'e-mail dans la ligne d'objet, OR MAKE IT ALL CAPS, il est probable qu'il soit ignoré.

6

Observations:

Certains utilisateurs peuvent comprendre que votre message est important mais "le laisser pour plus tard", ou penser que c'est une bonne référence mais le mettre de côté pour un moment où "quelque chose de mauvais arrive" (cela arrive souvent avec nos messages de sensibilisation).

J'ai également dû faire face à l'insistance des gestionnaires de niveau intermédiaire pour que tous les messages adressés en interne à l'organisation suivent un certain style officiel, un arrêt sûr pour tout utilisateur qui commencerait à les lire.

Donc, mes 2 suggestions:

  1. Pensez à votre public. Qu'est-ce qui les intéresse, ce qui attire leur attention, comment ils recevraient le mieux votre message. Ce sont vos collègues après tout.

  2. Concentrez-vous sur les messages importants, à savoir la formation de sensibilisation ou les notifications automatiques. S'ils sont vraiment importants, composez-les dans un style qui les rendra "irrésistibles".

Quelques conseils (surtout utiles pour les messages de sensibilisation):

  • Abandonnez le langage de l'organisation officielle, abandonnez le jargon juridique, soyez personnel.

  • Essayez de penser comme vos utilisateurs, posez des questions hypothétiques qui les feront penser aux "et si". Rendez votre discours sur la sécurité passionnant! Et que diriez-vous également de les inquiéter un peu de la sécurité de leurs propres données personnelles? Un système exploité pourrait être utilisé pour voler des données personnelles ainsi que des données d'entreprise. Bonus supplémentaire: ils ramènent la leçon à la maison.

  • Utilisez des zones de texte (en couleur) qui résument votre message. Leurs yeux les y amèneront.

  • Laisser des indices sur leurs responsabilités dans l'organisation.

6
George

Une astuce que j'ai utilisée avec un certain succès pour les choses qui nécessitent des actions de l'utilisateur est de lui envoyer une demande de réunion. Trick fonctionne pour plusieurs raisons:

  • Les gens ont tendance à répondre aux demandes de réunion.
  • Vous permet de créer des rappels avant les événements nécessitant des actions de l'utilisateur.
  • Met en fait des choses comme les temps d'arrêt planifiés dans les calendriers des gens.

Je ne le ferais pas pour tout car cela pourrait être voué à l'échec, mais pour des choses suffisamment importantes, cela a du sens.

4
Wyatt Barnett

Le fait est que les utilisateurs qui ne connaissent pas grand-chose aux ordinateurs ne se soucient pas beaucoup des e-mails qu'ils ne comprennent pas. Et aussi, deuxième point, les gens s'habituent simplement aux e-mails similaires qui arrivent souvent et commencent à ne pas les lire.

Pouvez-vous faire quelque chose contre cela ... probablement pas tant que ça.

Je recommanderais de créer une catégorie dans votre e-mail comme titre. Je recommanderais de créer un CODE COULEUR pour chaque catégorie. Je recommanderais d'écrire une courte déclaration au début du corps et une longue information détaillée juste après la courte déclaration.

Prenez également soin des mots que vous utiliserez et essayez de comprendre que certaines personnes ne connaissent pas les termes techniques de l'ordinateur. Évitez de les utiliser ou s'ils sont utilisés, définissez-les.

Réfléchissez à ce que pensent les personnes non techniques lorsque vous les avertissez d'un virus? Ils pensent qu'ils ont une bête dans la machine ... et rien d'autre.

Soyez pédagogique avec eux. Utilisez des mots qu'ils connaissent. Soyez clair sur ce qu'ils doivent faire.

2
Xenus98

Pour les e-mails d'alerte de virus, en plus de modifier le contenu du message, assurez-vous que l'en-tête From: indique qu'il provient du gestionnaire de ligne de l'utilisateur. CC cette personne aussi. N'est-ce pas de la triche? Non. Il incombe au supérieur hiérarchique de veiller à ce que les politiques soient diffusées et suivies de leurs rapports, de sorte que vous envoyez le message en leur nom.

Pour les notifications d'indisponibilité et de maintenance, il existe deux facteurs: le premier est d'éviter de perturber les utilisateurs pour effectuer la maintenance. La seconde est que vous devriez envisager de notifier les utilisateurs via des systèmes de diffusion ou de messagerie, car, comme vous l'avez trouvé, le courrier électronique n'est pas un bon moyen.

2
user185

Si vous avez vraiment quelque chose à dire (et non le type de courrier électronique "attendez-vous à une perturbation"), vous pouvez mettre le nom du destinataire dans le sujet . Oui, c'est ce que font habituellement les spammeurs.

Un sujet comme Richard, veuillez jeter un œil attire immédiatement l'attention et vous donne environ 10 secondes pour exprimer le problème en bref ( c.-à-d. expliquer les politiques modifiées, le logiciel est mis à jour, etc.).

Veuillez ne jamais utiliser ceci pour tout messages générés automatiquement.
Et assurez-vous que l'adresse de l'expéditeur figure sur la liste blanche sur tous les ordinateurs.

2
Dan

Selon la hiérarchie de votre organisation, j'ai trouvé quelques éléments assez efficaces.

J'envoie un e-mail au gestionnaire ou aux superviseurs du reste des utilisateurs, quand ils le transmettent avec un court "lisez ceci si vous avez encore besoin de votre travail" tapez un liner (généralement pas si grossier mais vous obtenez le point) je dirais fermer 70% des utilisateurs essaient de lire l'important bulletin qui a été envoyé.

Deuxièmement, j'utilise un sujet qui attire l'attention, voici quelques exemples et une brève explication du côté technique.

Subj: Les courriels de mauvaises nouvelles contiendront quelque chose dans la nature que nous pourrions considérer comme de mauvaises nouvelles, mais l'utilisateur pourrait même ne pas le remarquer, mais nous devons documenter "ce que nous faisons" au cas où des personnes de moindre importance auraient du mal à comprendre "ce que nous sommes payés pour faire" "à leurs propres yeux, contester tout problème dont nous les" avons avertis "

Sujet: Problème de conformité ou audit de conformité Cela fait généralement sonner mon téléphone car LES PERSONNES NE LECTENT PAS le corps du message, mais c'est généralement quelque chose du genre à renouveler les services de cryptage, mais si mon sujet le disait, alors il serait ignoré jusqu'à ce que le le service est fermé en raison d'un manque de paiement en temps opportun; alors je dois travailler en dehors des heures normales de travail sans rémunération supplémentaire/heures supplémentaires.

Sujet: URGENT! (Problèmes X) Lorsque vous utilisez cela, c'est en dernier recours. Par exemple URGENT! Le système client SERA EN BAS jusqu'à ce que la licence soit renouvelée. (vous pouvez probablement dire que mon entreprise aime tout payer DERNIÈRE SECONDE et bien sûr, le travail m'appartient de "résoudre le problème" Au moins avec ce sujet et les informations contenues dans l'e-mail lorsqu'il est attaqué par la direction sur "pourquoi payons-nous les employés de la succursale?" bureaux qui ne peuvent pas travailler dans notre système?! Il est en panne/cassé "Je réponds simplement, si c'est aussi urgent que vous le prétendez, alors payez le (s) renouvellement (s) à temps pour éviter la situation au départ. Magiquement, ils avoir des cartes de crédit pour racheter les licences une fois que cela se produit (tous les 6 à 12 mois) YAY!

Subj: System Down J'utilise ceci pour notifier qu'un système particulier sera programmé pour être arrêté pendant une certaine période de temps pour la maintenance ou les mises à jour/mises à niveau.

Enfin, et je suppose que j'aurais dû dire que cela consiste à ne pas envoyer plus de courriels que vous ne l'avez fait, et les images semblent attirer l'attention (à condition que leurs clients de messagerie soient configurés pour les afficher). Étant donné que j'envoie un courrier électronique à la plupart des gestionnaires seulement quelques fois par semaine, à moins de répondre à une question; mes e-mails ont plus de poids que les autres administrateurs avec lesquels je travaillais. Malheureusement, à moins que quelque chose ne soit cassé, la plupart des utilisateurs ne lisent PAS tant que vous avez des preuves documentées que quelqu'un a été informé que votre terrain devrait être assez solide. Je dis toujours: "Si d'abord ils ne comprennent pas ce que vous essayez de dire, réduisez vos attentes." ;-)

2
Brad

Beaucoup d'excellentes réponses ici, la seule chose qui mérite d'être ajoutée est, pour le cas RARE que vous vraiment exigez l'attention et/ou la réponse des utilisateurs , de nombreux clients de messagerie (par exemple Outlook) permettent à l'expéditeur de désigner une date/heure de rappel, à laquelle le client affichera en fait une boîte de message de rappel.
Veuillez toutefois l'utiliser avec parcimonie, car il est assez intrusif - bien qu'il soit très utile, si vous en avez besoin. (Si vous en abusez, il sera ignoré/ignoré).

2
AviD

Le seul moyen de vraiment faire avancer les choses par e-mail uniquement:

  • ACTION REQUISE dans le sujet
  • Un moyen d'indiquer qu'ils l'ont lu ou ont fait l'action demandée.
  • Escalade vers le manager s'ils ne le font pas.
  • Escalade vers le manager du manager si ce n'est toujours pas le cas.

Parce que peu importe ce que vous faites dans votre e-mail, un bon pourcentage ne l'ouvrira même pas.

0
Scott McIntyre