En fait, parler de facteur humain, c'est un peu vague. Il faudrait mieux parler de l'influence des personnes sur les systèmes informatiques, ou de facteur non prévisible (un peu comme l'environnement, en 1000 fois plus probable), ou de grain de sable qui peut faire trembler n'importe quel système, c'est selon. N'allez surtout pas croire, que je pense que la technologie n'est pas importante. Elle l'est évidemment. Mais qui l'opère ? L'influence de l'humain va devenir de plus en plus prépondérante surtout que l'on se dirige de plus en plus vers un monde où tout est interconnecté et nomade, bientôt fini le temps des processus qui régissaient l'entreprise ? Au moins, il faudra en trouver d'autres qui fonctionnent pour ce nouveau monde. Nouveau monde, d'ailleurs, puisque la richesse de l'entreprise, son bien le plus cher, devient les données ou l'information échangée. Les décisions seront de plus en plus influencées par les relations physique proches ou virtuelles (réseaux sociaux) plutôt que les procédures en œuvre dans l'entreprise. Elle devra d'ailleurs s'adapter en adoptant une structure plus souple, plus plate, fini les silos d'une hauteur mirobolantes qui ne font que retarder la mise sur le marché de produit pourtant innovant (il ÉTAIT innovant il y a un an, plus maintenant).
Mais revenons à la sécurité. Comme je l'ai dit, tout le monde s'accorde à la grande importance du facteur humain. Mais dans les faits ? Pas grand-chose (c'est mon côté optimiste). Il devient vital pour une entreprise que tous les employés comprennent les risques apportées par les nouvelles technologies et les nouvelles formes de travail. Vous me direz, nous avons mis au point des bonnes pratiques. Certes, mais êtes vous sûr que vos utilisateurs les comprennent ? Il est vital que tout chef de projet est comme fil rouge à tout développement la sécurité de l'entreprise en tête.
Avec les nouvelles habitudes de travail comme la mobilité ou les réseaux sociaux, les brèches du système d'information vont devenir béantes, et les pertes de données/informations sensibles vont devenir une habitude. Il faut changer cela avant que ces brèches ne puissent plus se fermer. Il faut repartir sur de nouvelles bases, loin des normes de sécurité BS xxx et ISO xxx écrites pour la première , il y 20 ans (et 20 ans, c'est long en informatique) à une époque où nous étions encore dans une ère industrielle de procédures écrites. Internet et ses avatars plus la mobilité ont dissous lentement ce type de processus (la dissolution n'est d'ailleurs pas finie). Il faut reprendre à presque zéro en essayant d'être un peu plus pragmatique et moins doctoral, et de surtout placer l'humain au centre des préoccupations de la sécurité, et non comme un acteur parmi d'autres..
To be continued.
_