mardi 20 avril 2010

Sensibiliser ou comment prendre le consultant à son propre jeu !



Un peu de sécurité des systèmes d'informations aujourd'hui ! Parmi les grandes thématiques du moment chez les experts du secteur : la sensibilisation et la formation.

Epines dans le pied des managers, ces deux aspects comptent parmi les mesures de sécurité proposés dans des normes comme l'ISO27002. Elles créent aussi un marché spécialisé de la formation et de la sensibilisation à la sécurité.

Cependant, la formation est un métier unique, de même que la sensibilisation. Et le sujet de la sécurité de l'information prête le flanc à un certains nombres de critiques.

Le document ci-dessus provient d'une étude réalisée par Forrester. Elle met en avant la problématique "utilisateur". Parmi les antiennes et phrases un peu monomaniaques de la sécurité, on retrouve celle-ci : "le problème, c'est utilisateur", "le problème est entre la chaise et le clavier"...

Ce message est simpliste comme le rendu des résultats de l'étude : OK, les utilisateurs qui perdent des portables de type smartphones sont les premiers à causer des fuites d'informations....

Ma réaction : si quelqu'un a été assez bête pour mettre des informations sensibles sur un smartphones, il ne lui reste plus qu'à l'assumer. Le rôle du responsable sécurité est ici de prévenir et de proposer les solutions adéquates : abandon de cette proposition ou investissement nécessaire au retour d'un niveau de sécurité adapté. Souvent, malgré tout, la décision est prise de continuer au-delà des avertissements de ce responsable.

Mais, alors, le problème n'est pas l'utilisateur ou l'employé : c'est un problème managérial, un choix délibéré faits dans des conditions d'informations données. La responsabilité se partage entre le responsable sécurité qui a été plus ou moins efficace dans son rôle de conseil et le responsable métiers qui a pris une décision en fonction des données à sa disposition.

On ne peut demander à l'utilisateur d'assumer, sans contrepartie, un niveau de sécurité demandé sans l'adjonction de mesures adéquates.

Autre exemple :

Ceci dit, on entend parfois des consultants, en séminaire de formation ou sensibilisation, asséner cette vérité à l'utilisateur : "vous êtes le maillon faible !"

Au-delà de la portée pédagogique toute relative d'un tel discours, certains utilisateurs sont plus malins et nous remettent à notre place !

Devant l'affirmation ci-dessus, un salarié plus malin se lève alors et dit : "Monsieur le consultant, nous sommes peut-être une faille, un problème mais moi, je vous affirme pouvoir pirater un compte en moins d'une minute sans aucun outil".

Interloqué, le consultant demande des informations complémentaires et le salarié lui répond qu'un appel aux services help-desk, en interne, suffit étant donné que les informations nécessaires sont précisées sur la porte du bureau et la machine en question.

Rien de plus facile, à l'heure du déjeuner par exemple.

Cette mésaventure montre qu'effectivement, les processus de sécurité sont plus importants encore. En effet, comment demander à un salarié de se comporter justement sans qu'il ait à sa disposition, les outils, les références et la marche à suivre.

Enfin, pour conclure, je rappellerais que plusieurs experts ont signalé à quel point l'utilisateur devrait être un outil de la sécurité et plus une contrainte. Ce changement d'approche vis-à-vis du salarié, désormais partenaire de la sécurité, est sans doute une piste intéressante à suivre dans l'évolution des pratiques de sécurité (cf. ma thèse pro disponible sur www.cidris.fr ou me contacter).


Source :

http://gcn.com/articles/2010/04/19/numerator-security-breaches.aspx

Aucun commentaire:

Enregistrer un commentaire