Puisque nous parlons du facteur humain dans la sécurité, il est important de parler de comment l'information est perçue et retransmise. Il existe des centaines de livres et d'études sur ce sujet, ici , je me contenterai de mettre en exergue certaines idées fortes et adaptables à la sécurité de l'entreprise. La façon dont nous percevons le monde est le premier point à étudier.
Nous vivons une époque formidable et paradoxale. La façon dont l'information circule et nous parvient a radicalement changé. Formidable car elle nous parvient en quasi temps réel, paradoxale car sommes nous mieux informés ? Il en de même pour la sécurité. La politique de sécurité, clef de voute de la sécurité en entreprise est elle dans votre société communiquée, comprise, appliquée ? La réponse est non exceptée pour la communication justement certainement pas pour le reste. Ce n'est pas dû à un problème de compétence des équipes de sécurité, mais un problème d'évolution des mentalités. La politique de sécurité communique avec des gens qui n'existent plus parce qu'ils ont évolués.
Aujourd'hui l'information est partout. Il y en a même trop, cela ne favorise pas la productivité, c'est ce que des personnes bien informées disent tout le temps, elles doivent avoir raison. On ne parle jamais des gains dus aux nouvelles technologies. Pour une entreprise, il est vital de se rajeunir. Et comment attirer les jeunes dipômés ? En leur disant chez nous, vous serez dans un environnement parfaitement sécurisé ou venez vous aurez plein accès à Facebook/Twitter ? Je vous laisse le choix de la réponse, bien entendu. Pour les nouveaux risques induits, on verra demain !!! Depuis combien de temps avez-vous lu un manuel d'instruction complet (pour votre télévision par exemple), alors une politique sécurité plus des centaines de pages de procédures, ce n'est même pas pour demain. L'information doit être immédiate, et déjà synthétisée, un manager préféra demander à son réseau de relations plutôt qu'aux spécialistes en cas de problème. C'est un grand défi pour les professionnels de la sécurité, car les problèmes de sécurité deviennent de plus en plus complexes, et la communication doit être de plus en plus simple. Les réponses à ses questions ne sont pas encore gravées dans le marbre malheureusement, mais une orientation possible serait de laisser aux poubelles de l'histoire les politiques de sécurité, et de se concentrer sur ce que les gens pensent et surtout comment ils se comportent. D'ailleurs, les pirates de réseau le savent bien depuis longtemps pour propager leur malware par exemple. Il faut comprendre que l'humain est à la fois le problème et la solution, et qu'il n'y aura pas de sécurité sans lui..
To be continued...
_