J'entends depuis des années que le problème majeur en sécurité est l'utilisateur. Mais que fait l'entreprise pour ses utilisateurs
? Avant d'incriminer ce "maillon faible" il faudrait réfléchir aux
moyens mis en place pour le renforcer. Quelle part des budgets SI est
consacrée à la sécurité ? Et dans ces quelques "pour-cent", combien
sont utilisés pour les utilisateurs (je ne parle pas du poste mais bien
de l'utilisateur comme personne).
Les entreprises devraient investir massivement sur la sensibilisation, la formation, et l'éducation à la sécurité pour son personnel. Je pense que nombre de problèmes
seraient évités si l'employé se rendait compte que certaines des ses
actions entrainent un préjudice fort pour son entreprise. Et pour
une fois pourquoi ne pas commencer par le haut ? Je sais les personnes
qui siègent au comité de direction n'ont pas besoin d'êtres formées :
elles sont déjà parfaitement au courant de tout ca... C'est d'ailleurs
en repensant a cette nouvelle, la démission du chef de l'anti terrorisme anglais,
que j'ai voulu écrire cette note. Aussi haut que l'on soit dans la
hiérarchie, aussi sensibles que soient les données manipulées, aussi
délicat soit son domaine d'activité : NUL n'est à l'abri !!! Et si les
dirigeants et autres directeurs font un effort, leurs équipes suivront
facilement. Et que l'on ne me parle pas de technologie, solutions et
autres béquilles, ce ne sont que des outils créés pour aider mais rien
ne remplacera l'éducation. Vous pouvez regarder aussi les excellentes vidéos sur les réseaux sociaux de mon collègue Alban Ondrejeck qui montrent clairement ce qu'un manque d'information sur les données personnelles peut entrainer.
Je ne pense pas que la formation des utilisateurs en matière de sécurité soit très efficace. Cependant, je pense qu'il faut les sensibiliser sur les points suivants :
- ce qui est illégal
- ce qui est à usage interne et ne doit jamais sortir des réseaux "de l'entreprise"
- quels sont les réseaux "de l'entreprise"
- qu'ils seront tenus pour responsables si un problème arrive par leur faute rapport aux points précédents
Le reste nécessite soit :
- trop de technicité, comme de savoir si un site est fiable ou non
- trop de prise de tête, comme les différents niveaux de classification de l'information
- le calme et la réflexion dans des moments où tout le monde stresse (le fameux coup du laptop oublié dans l'aéroport)
===> la formation n'est pas efficace
Dans les nouvelles récentes j'aurai plutôt pensé que c'était l'article suivant qui démontrait bien le problème du facteur humain.
En gros madame Michu n'arrive pas (ne veut pas s'embêter) à se souvenir du mot de passe de sa clé USB chiffrée. Elle l'écrit sur un papier qu'elle scotche à la clé USB. C'est tellement plus simple !
Finalement c'est pas mal le e-learning sur la sécurité informatique avec une session tous les mois et des lots attribués aléatoirement aux participants (pour que les meilleurs ne gagnent pas à chaque fois et pour éviter la triche).