Je ne suis pas d'accord avec les réponses suggérant de changer les antécédents des gens / de jouer avec les courriels / de voler des souris. Ce genre de "farce" est une partie sournoise passive-agressive de la "culture de bureau" dont je peux me passer.

Heureusement, cela n'existe pas sur mon lieu de travail actuel. Tout le monde verrouille son écran car nous avons une culture de travail axée sur la sécurité et des politiques de sécurité publiées, appliquées par des moyens techniques lorsque cela est possible.

Si vous n'avez même pas encore de politique de sécurité officielle, travaillez dessus! Vous pouvez vous soucier de l'appliquer une fois qu'il est réellement défini.

Rendre le verrouillage automatique

Windows a un paramètre pour verrouiller le poste de travail après x minutes d'inactivité ...

De cette façon, vous pourriez ne pas besoin d'éduquer n'importe qui.

Faciliter le verrouillage

En éduquant les utilisateurs sur le raccourci clavier pour verrouiller leur poste de travail (sous Windows, ce serait WINDOWS + L , où WINDOWS est la clé avec l'icône Windows).

Faites-leur comprendre pourquoi le verrouillage est important

En expliquant le préjudice réel qui pourrait résulter de ne pas verrouiller le poste de travail.

Dans mon entreprise, nous avons ce "jeu", dans lequel nous ouvrons leur Slack, Microsoft Teams, leur messagerie ou toute autre application de messagerie de groupe que nous utilisons et invitons en leur nom pour le petit-déjeuner du lendemain.

Cela peut sembler stupide mais puisque la direction soutient cette action, elle a augmenté la prise de conscience de l'importance de garder votre ordinateur verrouillé. De plus, vous obtenez de la nourriture gratuitement

Vous avez également l'extension légendaire de ( Nicolas Cage), magnifique

modifier: comme l'a dit Sourav Ghosh dans les commentaires, ceci l'action dépend fortement de la réaction attendue de la personne

Comme nous pouvons voir que le problème concerne plus d'une personne, il ne sera pas utile de chasser chaque individu et d'essayer de les éclairer individuellement.

Au lieu de cela, dans un premier temps, utilisez un liste de diffusion (alias de distribution des e-mails) pour envoyer des e-mails sur les problèmes et les problèmes de sécurité qui peuvent survenir en laissant le poste de travail / ordinateur portable déverrouillé pendant que vous êtes loin du bureau. appliquée / pratiquée ^[1] au niveau de l’organisation. Deux étapes suggérées:

• Si vous savez que cela cause un problème juridique / une violation de la politique de l'entreprise / du CoC, etc. - faites-en part à votre supérieur / responsable vient de mentionner que vous avez remarqué ce "comportement" ou "tendance") et demandez-leur d'émettre un avis officiel (plutôt qu'un e-mail d'information) pour appliquer la règle de verrouillage du poste de travail.

• Si vous pensez qu'il s'agit d'un niveau de "meilleure pratique", envoyez le courrier d'information / demandez à avoir des sessions / formations InfoSec pour les employés.

Remarque : Cette réponse ne prend pas en compte le fait que le verrouillage automatique (verrouiller le PC après une période d'inactivité X) est appliqué ou non, car la question est sur le point d'éduquer les employés à ne pas attendre et à compter sur le verrouillage automatique, verrouillez plutôt manuellement le système avant de vous éloigner.

^{[1]: basé sur l'applicabilité.}

EDIT :

Après la modification:

Nous n'avons pas encore de politique informatique d'entreprise. e m>

Il est grand temps de faire une configuration et de la déployer. Cela vous donne, à vous et à l'équipe informatique / InfoSec, une expérience et aux autres employés une référence à suivre.

Vous ne pouvez pas "imposer" quoi que ce soit à votre responsable - vous n'avez pas l'autorité.

Ce que vous pouvez faire, c'est passer par les canaux appropriés et proposer de bonnes politiques de sécurité.

Vous pouvez toujours rédiger vous-même une proposition de politique (quel que soit le format votre entreprise utilise pour les politiques) et soumettez-le pour discussion / décision par le biais du processus utilisé par votre entreprise.

L'autre tactique est la tactique «question» ou «je me demande» - «demander» de différentes manières s'il existe une politique d'entreprise à ce sujet. "Je me demande si notre entreprise a une politique sur les employés qui bloquent leur poste de travail lorsqu'ils s'éloignent? Sinon, je me demande si ce serait une bonne idée?"

Est-il nécessaire de l'approcher? Pourriez-vous laisser une note anonyme amicale sur son clavier?

J'ai travaillé dans un endroit où si quelqu'un du service informatique voyait un ordinateur déverrouillé et que l'utilisateur n'était nulle part en vue, il laissait un post-it disant:

Bonjour!
Vous avez laissé votre ordinateur déverrouillé, je l'ai donc verrouillé pour vous!
De rien! Veuillez verrouiller votre ordinateur lorsque vous quitterez votre bureau à l'avenir.
Merci,
IT

Cela avait généralement l'effet escompté.

La réponse à cela dépend fortement de nombreux facteurs ....

Le pays dans lequel cela se passe peut être important. Au Royaume-Uni, laisser l'ordinateur déverrouillé constitue une violation du RGPD si la personne est en mesure d'accéder aux données de quelqu'un d'autre à partir de celui-ci.

S'il s'agit d'un problème juridique et que vous êtes responsable de la surveillance, envoyez un e-mail rappelant aux gens la nécessité de verrouiller leur écran.

Si vous êtes dans un environnement détendu, alors la meilleure leçon est simplement de «mettre en cage» leur ordinateur, de les faire revenir à un ordinateur verrouillé avec Nic cage en arrière-plan. Quelque chose de drôle comme ça leur apprendra probablement à être plus prudent.

Il y a deux problèmes distincts ici, je pense:

1. Comment convaincre votre responsable de suivre la pratique
2. Comment convaincre le reste de l'entreprise

La façon dont j'aborderais la question avec votre responsable est de me concentrer sur le problème pour le reste de l'entreprise, et non pas de parler de votre responsable pour le moment.

Allez voir votre responsable et signalez qu'il existe une culture dans votre entreprise consistant à laisser les postes de travail sans surveillance, ce qui entraîne une responsabilité potentielle pour l'entreprise.

Suggérer que cela devienne une priorité pour votre entreprise de mettre en place une politique claire sur le verrouillage des postes de travail et d'envoyer des mémos aux employés avec certaines des suggestions des réponses ici - principalement, en leur disant pourquoi c'est important et quels sont les risques pour l'entreprise, et en leur disant comment pour le faire.

Ensuite, vous et votre responsable devez rappeler aux personnes que vous voyez avec des postes de travail déverrouillés de les verrouiller. Verrouiller votre poste de travail est une habitude - c'est une habitude facile à prendre (touche Windows + L pour une machine Windows), et il suffit de le faire une douzaine de fois environ. Aidez les gens à prendre cette habitude, et peut-être que quelques autres vous aident à le rappeler.

L'avantage ici, pour le problème n ° 1, est qu'il se résout, espérons-le, une fois que votre responsable est à bord et rappelle aux autres les gens à verrouiller leur poste de travail, il est facile pour eux de prendre également cette habitude. Et s'ils ne parviennent pas à prendre cette habitude naturellement, eh bien, une fois que vous le rappelez aux autres, il est facile de dire «Hé patron, on dirait que je vous ai!

Si vous êtes une entreprise de sécurité, il devrait être facile de plaider en faveur de l'embauche d'une organisation de test d'intrusion pour donner à vos systèmes une fois fini. Assurez-vous qu'ils incluent des techniques d'ingénierie sociale. Les résultats effraieront probablement tellement votre direction que vous n'aurez plus à vous soucier des ordinateurs déverrouillés à l'avenir

Dans l'un de mes anciens lieux de travail, nous avons joué à ce jeu, que je recommande comme moyen de dissuasion pour laisser un ordinateur portable déverrouillé:

Si l'ordinateur portable de quelqu'un est repéré déverrouillé, quelqu'un envoie un e-mail à toute l'équipe. disant qu'ils apporteront des collations, des cookies ou quelque chose du genre à toute l'équipe.

Les gens commencent à verrouiller leur ordinateur portable et s'ils ne le font pas, ils en paient le prix.

S'agit-il d'un problème réel?

S'il y a des données sensibles sur les ordinateurs auxquelles les autres collègues ne doivent pas accéder, cela devrait être une politique de l'entreprise que chaque employé s'engage à respecter. Avec des sanctions appropriées. Poussez pour introduire une telle politique si vous pensez que c'est nécessaire. De cette façon, vous semblez neutre, ne visant particulièrement personne.

Si l'entreprise fournit une sécurité physique suffisante pour que le verrouillage des ordinateurs ne soit pas nécessaire, et qu'il n'y a rien de secret pour les autres employés, une politique décontractée est une aubaine tangible. Le retirer aux employés est en dehors de vos compétences.

Verrouiller juste pour le plaisir du verrouillage est inutile. Bien sûr, cela entraîne une bonne habitude. Mais cette habitude n'a toujours aucune utilité réelle. Les employés n'en bénéficieront que s'ils changent d'emploi. Vous ne voulez pas former les gens pour leur prochain travail.

BTW: Vous sonnez "Je fais X, donc les autres doivent faire de même". Faites attention de ne jamais rien exprimer de cette façon. Présentez votre argument à propos de X, jamais à propos de vous (ni d’autres personnes).

Avez-vous une politique dans l'entreprise pour verrouiller les ordinateurs? Il devrait y avoir périodiquement des courriers expliquant pourquoi les gens doivent les verrouiller. De plus, une autre façon de faire comprendre le problème aux gens est que chaque fois que vous laissez l'ordinateur déverrouillé, quelqu'un d'autre change le fond d'écran / économiseur d'écran. Cela ne fera pas de mal et incitera les gens à réfléchir à toutes les choses possibles qui pourraient arriver si quelqu'un avec de mauvaises intentions y avait accès si facilement.