Sécurité des systèmes d'information: la faille est souvent humaine

Un concurrent pirate vos fichiers clients. Votre messagerie est infectée par un virus. Vos locaux brûlent et, avec eux, tous vos documents papier et vos ordinateurs. Autant de risques qu'il faut prévoir et traiter... Les solutions purement techniques, comme les systèmes de pare-feu, de sauvegarde ou d'antivirus ne suffisent pas. Il est nécessaire de travailler en parallèle sur le comportement des collaborateurs et de les sensibiliser à l'importance de la sécurité des informations.

Question de vigilance... et de mémoire

« La problématique de la sécurité est la même quelle que soit la taille de l'entreprise, car les menaces sont les mêmes, explique José Perez, responsable sécurité du système d'information du groupe Allianz en France. L'essentiel de la sécurité est une question d'attitude et de position de chacun. » En effet, les collaborateurs peuvent souvent contourner les règles qui ne leur conviennent pas, surtout si on ne leur a pas expliqué le « pourquoi » de ces règles...

L'un des grands axes de cette sensibilisation porte sur la confidentialité des données. Mieux vaut rappeler aux collaborateurs qu'ils doivent éviter de travailler sur des documents confidentiels dans des lieux publics, faire attention à leur ordinateur portable pour limiter les vols, broyer les documents sensibles avant de les jeter... « Avoir un système d'information très élaboré et bien sécurisé ne sert pas à grand-chose si quelqu'un imprime un document confidentiel, mais ne va pas le récupérer ! » insiste José Perez. Le mot de passe est également un sujet important. Beaucoup d'utilisateurs ne voient pas l'intérêt de le changer régulièrement ou pourquoi ils ne devraient pas le communiquer à leurs collègues. Les contraindre sans explication est souvent contre-productif : « Chez l'un de mes précédents employeurs, nous avions installé un logiciel pour obliger les collaborateurs à utiliser un mot de passe robuste et à le changer régulièrement. Résultat : beaucoup l'ont noté sur un papillon adhésif pour s'en souvenir... », se rappelle Benjamin Rameix, aujourd'hui directeur des systèmes d'information de la mutuelle santé Unéo.

Pédagogie par l'exemple et piqûres de rappel

L'enjeu est donc de créer de l'intérêt pour le sujet de la sécurité, peu séduisant, et, parvenir ensuite à maintenir l'attention des utilisateurs... « Il faut décliner une multitude de moyens de communication pour faire des piqûres de rappel », explique Guillaume Durand manager au sein de la practice sécurité et risk-management de la société de conseils Solucom. L'une des meilleures solutions consiste à prendre le temps de discuter avec les gens ou d'organiser des événements. Ensuite, on peut distribuer des documents rappelant les dix règles d'or, utiliser l'actualité, par exemple une attaque virale... « L'envoi régulier d'informations par courriel, en réagissant sur des incidents, permet de rappeler certaines règles. Par exemple, à l'arrivée des vacances, on peut redire qu'il ne faut pas donner son mot de passe à ses collègues », conseille Guillaume Durand. Plus extrême : passer dans les bureaux et rafler tous les PC portables qui n'ont pas été attachés ! Enfin, de grands groupes organisent des quizz sur la sécurité et mettent en ligne régulièrement de petits films avec des personnages récurrents, délivrant des messages simples sur les comportements à adopter. Finalement, bien avant les moyens financiers, la sensibilisation exige surtout une grande dépense d'énergie et de temps.

Le patrimoine du secteur de l'assurance est avant tout informationnel. Une richesse qui peut être perdue ou volée...

Benjamin Rameix, directeur des systèmes d’information de la mutuelle santé Unéo