Par Kévin Bretin

 

Le collaborateur : ennemi numéro un de la sécurité informatique ?

 

Le passage au tout numérique est une nouvelle source de menace pour les entreprises. Si les nouvelles formes d’organisation du travail permettent des gains de productivité non contestables, de sérieuses contraintes existent. En effet, l’ensemble des données de l’entreprise est stocké au sein des Systèmes d’Information (SI).

La notion de SI peut avoir comme analogie le système nerveux du corps humain, au sens où il va concentrer l’ensemble des données et processus de l’entreprise. Les fiches de paie, les fichiers clients, les brevets déposés… tout y est stocké. La sécurité de ce réseau vital se doit par conséquent d’être parfaitement maitrisée.

Pour illustrer la fragilité de ce système, il suffit d’imaginer ce qu’il peut se passer si les gestes élémentaires de sécurité ne sont pas appliqués : Un virus téléchargé par inadvertance se propageant sur l’ensemble des ordinateurs d’une entreprise X permettrait au pirate d’avoir accès à une multitude d’informations pour la revendre au plus offrant et ainsi faire écrouler toute une stratégie. 

En résumé, pertes financières, déficit d’images, infractions à la loi, mise en danger de la pérennité de l’entreprise sont autant de risques à prévoir si le SI n’est pas sécurisé tant sur un plan technique… qu’humain. En effet, posséder l’expertise d’ingénieurs informatiques ne peut suffire à protéger un SI dans sa globalité, l’ensemble des salariés d’une entreprise a un rôle important à jouer.

La force de la protection du Système d’Information étant directement corrélée au niveau de vigilance de chacun, les entreprises doivent par conséquent trouver les ressources pour inculquer ce constat dans l’imaginaire collectif.

 

Le rôle de la communication dans la protection du Système d’Information

 

Il est certain que la dimension de la communication ne pourrait suffire à elle-seule à faire évoluer les mœurs mais elle devrait pourtant être systématiquement partie prenante du plan d’action décidé.

Pour reprendre notre analogie du corps humain, on pourrait alors parler de médecine préventive afin d’éviter au maximum les difficultés.

Le plan de communication doit bien sûr être défini en fonction des règles édictées par l’entreprise concernant la protection du SI, mais il doit être au maximum maîtrisé et utiliser des mécanismes répétitifs afin de s’assurer que le message soit bien intégré.

Il doit également se reposer sur une analyse au préalable de son environnement afin de concevoir un plan de communication conjoncturel et structurel.

De notre expérience, il paraît nécessaire d’avoir une communication reposant sur l’apprentissage des bonnes pratiques en sensibilisant les salariés par des supports (affiches, tryptiques) et méthodes (ateliers pédagogiques campagnes Intranet…) dédiés.

Cette partie “structurelle” du plan de communication est à reproduire dans le temps afin de conserver l’attention des salariés.

Les Directions des Systèmes d’Information devront donc renouveler régulièrement leurs communications et faire preuve de créativité. L’investissement en temps peut paraître long mais il s’avère nécessaire.

Cependant, il ne faut pas oublier l’actualité, qui joue un rôle prédominant dans le monde informatique. Elle évolue sans cesse et les entreprises doivent en informer leurs collaborateurs lorsque de nouvelles menaces apparaissent. Il est donc judicieux de mettre également en œuvre un plan de communication conjoncturel pour définir certains modes d’action : quand parler d’actualité et pourquoi, quels bons comportements à mettre en avant etc ...

On peut citer l’exemple des techniques d’hameçonnage ou de tentatives d’usurpation d’identité qui ont été de nouvelles techniques de piratage qui sont apparus progressivement et pour lesquels il est devenu critique de savoir s’en prémunir.

Il est donc important d’anticiper des risques de mauvais comportements liés à la méconnaissance des risques informatique en inculquant, à chacun, cette adaptabilité face aux menaces.

Le problème est complexe, d’autant plus que chaque entreprise dispose d’un panel de salariés complétement différent. Il est donc primordial en premier lieu, de jauger le niveau de connaissance des salariés sur le sujet.

 

Au-delà de la communication, l’engagement managérial ne doit pas être négligé

 

En complément, on peut rajouter que faire de la communication ne peut suffire à mesurer l’efficacité de sa portée.

Pour remédier à ce constat, on ne peut que conseiller d’employer la manière « forte ». Certaines entreprises mettent en place leurs propres campagnes de tentatives d’hameçonnage afin de voir combien de salariés vont cliquer sur le lien inséré dans le courrier électronique…. Afin de faire ensuite preuve de communication pédagogique.

L’objectif n’est pas de piéger mais bien de constater une évolution sur le long terme.

C’est, en effet, une bonne méthode d'approche afin de sensibiliser les collaborateurs aux cyber-dangers. En ayant été victime, les chances d’être sensibilisé à une cause ne peuvent qu’être accrues.

Quel que soit le plan d’action décidé, il doit impérativement inclure les lignes managériales afin de pouvoir compter un engagement total de la part des salariés. Les managers sont garants de l’ensemble des décisions de l’entreprise. Par conséquent, si on implique l’ensemble de la ligne managériale sur les sujets de sécurité informatique, le salarié comprendra que la priorité accordée au sujet est élevée.

Bien sûr, cela sous-entend que le top management doit avoir conscience de l’ensemble de ces risques et veuille s’engager pour être sponsor de ce plan d’action.

Nous nous interrogions afin de savoir si le collaborateur était l’ennemi numéro un de la sécurité informatique, mais le véritable danger ne serait-il pas une direction n’ayant pas pleinement conscience de ces problématiques ?