Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La sécurité informatique doit devenir une cause nationale

septembre 2013 par Tanguy de Coatpont, Directeur Général de Kaspersky Lab France

La sensibilisation à la sécurité, quelle qu’elle soit, est un travail de longue haleine, une sorte d’éternel recommencement. C’est sans doute la raison pour laquelle, tout au long de leur scolarité, les enfants bénéficient d’une sensibilisation à la sécurité routière. « Il faut regarder à gauche, puis à droite, avant de traverser la rue » est une valeur essentielle de sécurité qui est enseignée dès le plus jeune âge. Au primaire, au collège, puis au lycée, à chaque étape de son développement, l’enfant, puis l’adolescent est ainsi sensibilisé aux principes fondamentaux de la sécurité routière. De sorte qu’une fois arrivé à l’âge adulte, chacun possède des connaissances en la matière, qui lui permettent de « survivre dans la jungle urbaine ».

Pourrait-on transposer cet apprentissage à la sécurité informatique ? Sans doute. Confrontés dès leur plus jeune âge à internet et aux réseaux sociaux, les enfants ne devraient-ils pas acquérir les règles de sécurité qui leur permettraient d’éviter les pièges relatifs aux détournements de données privées, aux mauvaises pratiques, aux « accidents » ? Une fois dans l’entreprise, ils auraient alors acquis certaines règles de base et les réflexes utiles qui simplifieraient la tâche des responsables de la sécurité informatique, évitant la mise en place de politiques de sécurité trop restrictives.

Cette éducation est d’autant plus importante lorsque que l’on évoque le sujet toujours controversé du BYOD. A bannir pour certains, à tolérer pour d’autres, il est particulièrement symptomatique de l’évolution de l’usage des nouvelles technologies en entreprise. Plus que pour toute autre utilisation de l’outil informatique professionnel, le BYOD révèle qu’une politique de sécurité peut être aussi drastique que possible, c’est, au final, l’utilisateur qui porte en partie la sécurité de l’entreprise. D’ailleurs, 35% des PME françaises déclarent redouter des dommages significatifs voire catastrophiques de l’usage du BYOD[1].

Il est donc crucial que l’utilisateur respecte un « code de conduite » précis, pour disposer des données de l’entreprise sur son terminal mobile. Et si des infractions à ce code sont constatées, le retrait de la permission d’accès doit être immédiat. Mais pour respecter ce code, encore faut-il que l’usager en comprenne les tenants et aboutissants. C’est là encore, l’éducation et la sensibilisation qui peuvent amener à la prise de conscience des conséquences néfastes de telle ou telle action, qui ne respecte pas la politique de sécurité de l’entreprise. Si aujourd’hui, tous les employés ont droit à de la formation continue, on peut regretter que celle-ci ne soit pas assez souvent dédiée à la sécurité informatique.

Reste encore à trouver des moyens efficaces de sensibiliser les différents publics usagers. Pour la plupart d’entre nous, les risques liés à la sécurité informatique sont perçus comme abstraits, avec l’idée répandue que « ça n’arrive qu’aux autres ». Pourtant, avec le BYOD, la frontière entre les sphères privées et professionnelles sont de plus en plus poreuses. Pour s’inspirer, là encore de la Sécurité routière, les campagnes publiques les plus efficaces sont celles auxquelles chacun peut s’identifier. Aussi, l’Etat n’a-t-il pas, en matière de sensibilisation à la sécurité informatique, un rôle à jouer ? N’est-il pas de sa responsabilité d’utiliser sa force de frappe, sa crédibilité, au service de la protection des données des citoyens comme celles des entreprises ?

Dans cet ordre d’idée, l’actualité récente pourrait être suffisamment « choc » pour amorcer un virage de communication. Les révélations sur les systèmes d’écoutes généralisées, les débats liés à l’usage des données personnelles par de grands acteurs du net, sont des sujets qui concernent chacun de nous et qui pourraient déclencher une prise de conscience du danger, si des campagnes publiques suffisamment claires et fortes étaient déployées.

Mais si l’utilisateur du système d’information, comme l’usager de la route, doit être le mieux formé et informé possible, il n’est pas le seul responsable en matière de sécurité. Le contrôle technique, assurant la conformité sur les points de sécurité essentiels ont aussi permis d’améliorer la fiabilité des véhicules. Au même titre, les terminaux mobiles personnels, utilisés dans l’entreprise, doivent subir un « contrôle technique » par la direction informatique afin de s’assurer que les profils de sécurité sont bien installés, adaptés et actifs.

Enfin, l’amélioration de la sécurité routière est également due à l’évolution des véhicules eux-mêmes, qui intègrent toujours plus d’éléments de sécurité à l’utilisation transparente pour le conducteur : airbags, ABS, etc. Les éditeurs de sécurité informatique ont donc également un pas à faire pour faciliter l’utilisation de leurs solutions. La simplicité, côté utilisateur est garante d’efficacité, alors qu’une solution trop complexe ne sera, par expérience, que peu ou mal appliquée.

Certes, atteindre le « zéro accident », sur la route comme en informatique, est la situation idéale mais d’un point de vue réaliste, ce ne peut pas être l’objectif final. D’ailleurs, la Sécurité routière l’a bien compris, c’est la diminution permanente des accidents qu’il faut viser ; une philosophie dont on devrait sans doute s’inspirer ici.


Voir les articles précédents

    

Voir les articles suivants