La Sécurité et les Systèmes d’Information sont-ils compatibles ?
Publié le 23 juin 2015 par Lemondeapres
@LeMondeApres
Tout d’abord, clarifions le mot Sécurité.
Je développe dans ce document la sécurité d’accès (avoir le droit de lire ou modifier) et non pas la sécurité de fonctionnement (avoir accès au moment où je le souhaite à une information non altérée en utilisant des moyens fiables).
Chaque acteur autour de l’entreprise a certainement sa vision du sujet avec des différences caricaturales (mais rencontrées dans la vie réelle). Cela va de :
- « Aucun sujet n’est sensible vis à vis des employés. Mettre des barrières à l’accès est nuisible à la réactivité donc la performance ».
à :
- « Je choisis ce que je partage uniquement en l’envoyant par Email à des personnes que j’identifie qui elles-mêmes n’ont pas le droit de le faire suivre ni de l’imprimer ».
- « Seuls les PC de l’entreprise peuvent se connecter au réseau et l’accès à Internet est interdit ».
Les individus subissent l’influence positive ou négative de plusieurs sources :
- Le besoin de partager avec SON réseau et pas avec des personnes inconnues.
- Les Contraintes légales (Ressources Humaines, Juridiques).
- Le manque de confiance dû à la grande difficulté de contrôler dans le temps l’implémentation d’une règle de sécurité.
- La peur car on ne voit pas celui qui accède à l’information dématérialisée.
N’oublions pas que peu d’entreprises sont l’objet d’attaques extérieures par le réseau et que 80 % des problèmes viennent de l’intérieur.
La sécurité est une science du compromis entre les possibilités des technologies, la compréhension des utilisateurs et les besoins réels. Donc, la mission des services informatiques ne peut se réduire à verrouiller le système, car trop de restrictions infantilisent les employés et les enferment dans des routines souvent inefficaces qui annihilent leur motivation. Ceci est d’autant plus vrai que l’entreprise collabore de plus en plus avec des acteurs externes (fournisseurs, clients, sous-traitants, consultants, partenaires).
Les technologies présentant des risques sont innombrables (Email, Clef USB, Site web collaboratif 2.0, réseaux sociaux du type Facebook,
LinkedIn ou Viadeo, etc.) mais la présence de risque n’est pas nouvelle. L’observation des comportements dans d’autres environnements n’est pas nécessairement cohérente avec les éventuelles peurs ou règles strictes. Il suffit de déjeuner régulièrement dans un restaurant proche d’une société cible pour en savoir beaucoup sur ce qu’il s’y passe, rien qu’en écoutant les tables voisines. Vous avez sûrement vécu cette expérience dans un avion ou un train. Le temps étant précieux, les projets et difficultés y sont discutés !Encore au début des années 70, le téléphone était une ressource souvent interdite à la plupart des employés et pas seulement pour des raisons de coût !
En conclusion, je pense qu’il faut faire attention à mettre en œuvre les règles de bon sens suivantes :
1) Expliciter dans une charte les objectifs de la protection qui sont propres à l’entreprise.
2) Le facteur humain est comme souvent le maillon clef du dispositif. Lui seul a les moyens de savoir s’il doit partager ou pas. Il faut lui donner un cadre technique simple (facilement implémenté et contrôlable) et des règles de comportement dont il peut être responsable. Le tout doit être écrit dans une charte mémorisable (tenant sur une page A4).
3) La technologie peut et doit aider mais à chaque fois qu’une solution ou une règle est mise en place, il faut être certain qu’elle sera comprise par les acteurs.
4) Les acteurs changeant rapidement de fonction et de poste dans l’entreprise, la DSI doit éviter les règles nominatives, utiliser un annuaire central décrivant chaque acteur et encourager les utilisateurs à faire de même lorsqu’ils partagent des informations sur les systèmes collaboratifs.