La mediaTICnews est une newsletter bimensuelle composée des meilleurs articles des blogs Orange Business : si vous souhaitez recevoir par email, le meilleur de nos articles, infographies etc. Abonnez-vous à la newsletter ici, c’est gratuit !
Tous les jours, j’entends (et je lis) les blogueurs et autres experts sécurité dire quelque chose du genre : “ouais enfin de toute façon le problème est entre le clavier et la chaise tu vois ?” (bon d’accord, j’ai rajouté quelques mots en plus, je vous laisse deviner lesquels ! :-))
Et tous les jours, je me demande pourquoi on parle tant de techniques quand, visiblement, il y a beaucoup plus d’enjeux avec l’humain. Après tout, les technologies font ce qu’on leur demande, elles marchent. La vraie faiblesse vient du fait que ces technos ne fonctionneront jamais si l’entreprise entière ne suit pas.
Les échecs en termes de cyber sécurité de ces dernières années ne montrent-ils pas qu’il y a un problème de distribution de ressources ? Petite analyse…
ce qu’il se passe dans la tête des employés
Si on fonctionne dans un mode « la sécurité est un château », les dépenses iront principalement dans des firewalls, du chiffrement… bref des technologies. La sécurité sera donc dans les mains de quelques personnes pendant que le reste de l’entreprise passera son temps à contourner les mesures mises en place par les premiers (avec succès la plupart du temps). Et pas pour embêter le monde. Non, ce sera pour faire face à un travail légitime. Après tout, dans la tête de M. tout le monde, la sécurité, c’est le travail d’un autre non ?
Eh bien oui : on ne leur a jamais demandé de participer à l’effort, comment pourraient-ils se sentir investis ? Au mieux leur a-t-on fait un speech à l’arrivée dans l’entreprise. J’entends d’ici quelqu’un dire : « si c’était plus important, on me formerait mieux que ça… »
Pour faire un petit parallèle de réseau à réseau, Internet est l’équivalent d’une (auto)route : ça va vite (très vite), c’est grisant, addictif et tout le monde l’emprunte. Est-ce que pour autant les gens savent naturellement l’utiliser ? Je suis sûr que si l’on met un enfant qui n’a jamais vu de voiture au volant de la dernière Ferrari, il y aura une maman qui hurlera très vite…
Les employés sont à considérer comme des conducteurs : ils ont besoin de mesures de répression (policiers, radars, etc.) mais ils ont aussi besoin de formations (permis de conduire).
une idée controversée : le « people-centric security »
Face à ce constat, on ne peut que se dire qu’il faut sensibiliser. Certains vont même plus loin avec des approches comme le « people-centric security ». En gros, il s’agit d’enlever ou tout du moins d’alléger les procédures et contrôles de sécurité comme l’a annoncé Tom Scholtz au « Gartner Security and Risk Management Summit ».
Scholtz affirme que moins de contrôle rapprocherait les équipes sécurité des autres employés : les uns comprendraient mieux les autres et vice-versa. Et c’est sans doute vrai. Il ajoute de mettre ce genre de dispositifs en place tout doucement, tout en observant et mesurant très attentivement. Visiblement, ça fait quand même assez peur ! ;-)
Ceci dit, je pense que l’idée est loin d’être bête : combien d’employés ne comprennent pas l’intérêt de telle ou telle politique de sécurité ? Combien se font une vague idée du périmètre couvert ? Et combien savent quelles menaces pèsent sur eux et leur entreprise ? Pas beaucoup…
conclusion : responsabilisation, fréquence et les mains dans le cambouis !
La clé est donc de les responsabiliser (doucement donc) pour au fur et à mesure les amener à comprendre et se protéger eux-mêmes. Et c’est vrai que cette méthode fait sens contrairement aux séminaires/réunions de sensibilisation obligatoires (donc mal vécus) ou facultatifs (donc sous-peuplés, à la portée réduite).
Si à ça on rajoute qu’une telle opération n’arrive qu’une fois tous les 36 du mois, c’est normal que les cibles oublient le message au bout d’un moment. Le message a besoin d’être récurrent pour s’ancrer dans les esprits.
Et faire quelque chose de ses propres mains est plus marquant que de simplement l’écouter… pour l’oublier une seconde plus tard. Pour ça, les idées comme les hackatons sont certainement excellentes (sans oublier d’y intégrer toute l’entreprise : designer, manager, marketeux, etc.).
Morale de l’histoire, même si trop de marketing tue la sécurité, il ne faut pas oublier l’interne qui aura besoin de… communication ! Verriez-vous autre chose à ajouter ? :-)
Rémi
Crédit photo : © alphaspirit - Fotolia.com