Wouf wouf (logiciel de traduction automatique activé). Bonjour, exceptionnellement aujourd'hui, je ne vous parlerai pas de sécurité physique. En effet, mon maître étant malade, je le remplace à la patte levée. Qu'a-t-il ? Sa tête et ses chevilles se sont soudainement mis à enfler démesurément. Boris l'a emmené dans une de ses cliniques privées pour le soigner. Je vous tiendrai au courant. Le sujet d'aujourd'hui (et de demain) est l'influence du facteur humain sur la sécurité, vaste sujet s'il en est. Je pense être apte à analyser ce sujet de façon impartiale. Et cela pour deux raisons, comme tout bon consultant, je suis extérieur au genre humain, et nous les chiens nous vous étudions depuis des milliers d'années, alors...
C'est bizarre dans toutes les présentations de sécurité on parle du facteur humain. On insiste sur son importance dans la sécurité de l'entreprise, tout le monde est d'accord. Et quand vient le moment des solutions.... Plus rien, plus personne. Effectivement l'humain conçoit, implémente, et opère tous les systèmes d'informations, il les utilise, gère les droits d'accès physique et logique aux systèmes, etc... Tout cela va générer des erreurs, c'est inévitable. Et bien sûr cela arrive sous la forme de vulnérabilité de logiciel due à une programmation méconnaissant la sécurité, de mot de passe faible et facilement découvrables, ou des erreurs dites « humaines » volontaires dont le but est de voler des données ou rendre les systèmes inopérants. Ou l'exploitation de l'humain par l'humain que l'on appelle l'ingénierie sociale très connue des espions, pirates, maffieux, spammeurs en tout genre. Alors pourquoi ce silence ?
J'ai peut être une idée très saugrenue. Les responsables de sécurité étant essentiellement des techniciens (ou anciens), ils ont préféré attaquer le problème par le versant qu'ils connaissaient, à savoir la technique. Et ils ont plutôt bien réussi, car aujourd'hui tous les éléments techniques pour faire une bonne sécurité existent. La question technophile étant presque réglée, il faut passer au stade supérieur, c'est-à-dire au facteur humain. Et là...trou noir. La psychologie humaine devrait être une composante fondamentale du bagage de tout responsable de sécurité, on en est loin, malheureusement. En attendant la nouvelle génération... Vous allez me rétorquer que les normes type ISO 27xxx tiennent compte des processus organisationnels donc des interactions humaines avec le système d'information. C'est un peu vrai, je reviendrai très bientôt sur ce point. C'est effectivement bien de suivre les normes, en fait cela constitue un bon départ, cela prouve que l'on s'est intéressé à la sécurité au moins un jour, mais il ne faut surtout pas s'arrêtez là, sous peine de n'avoir rien compris à la sécurité informatique, et surtout à la sécurité de l'entreprise. Dire je suis certifié ISO xxxx, il ne peut donc rien m'arriver, tiens un peu de la méthode Coué. Cela peut marcher, c'est statistique. Mais une norme dès sa rédaction est obsolète parce que le monde évolue (surtout le monde informatique) très vite.
Il est évident que l'approche de la sécurité informatique doit changer radicalement avec l'arrivée de la mobilité et des réseaux sociaux dans l'entreprise par exemple. La sécurité va avoir besoin de nouvelles idées pour avancer, surement par une approche multi-disciplinaire de la sécurité. Une autre approche pourrait être d'analyser les relations humaines dans l'entreprise plutôt qu'agir en terme de politique de sécurité (que peu ont lu, compris, ou retenu), de processus, de procédures.
To be continued.
_