Tout "bon" professionnel dans la sécurité des système d'information devrait vous le dire : La sécurité est avant tout une affaire de personnes. Le meilleur des firewalls du marché déployé ou administré par une personne peu ou insuffisamment compétente fournira qu'un sentiment de sécurité relative.
Quand l'on pense "personnes sécurité", on pense immédiatement à celles ayant des compétences spécialisées ou pointues dans le domaine de la sécurité. Celles-ci sont souvent (mais pas tout le temps) à des postes clefs comme RSSI, CSO, Administrateurs sécurité, auditeurs, etc...
Une autre catégorie de personnes, moins connues mais néanmoins essentielles, sont celles que l'on qualifie comme "la bande", le "réseau", le "on" ou encore les "mens in black" :-).
Ces personnes sont en fait le Monsieur ou la Madame "tout-le-monde" n'ayant pas de mission sécurité en tant que tel dans l'organisation mais qui sont des sources ou relais d'informations de très bonne qualité et des personnes essentielles pour "sentir le terrain" et "coller à la réalité".
Qui sont ces personnes ? Pourquoi un responsable sécurité se doit de développer et d'entretenir un tel réseau ? Quelles recommandations, conseils ou astuces pour développer ou entretenir ce type de réseau ? Petit retour d'expérience.
De façon assez classique, deux type de réseaux co-habitent simultanément :
- Celui constitué de personnes travaillant dans le domaine de la sécurité : Le panel d'informations partagé est très étendu et le "filtrage" est très faible. C'est le réseau classique "d'experts sécurité" au sein d'une structure. Il peu en exister plusieurs évoluant en parallèle selon la taille de l'entreprise ou de l'organisation.
- Le réseau plus informel constitué de personnes ne travaillant pas forcément ou exclusivement dans le domaine de la sécurité. C'est un réseau beaucoup plus diversifié de part la variété des fonctions de chacune des personnes en faisant partie.
Dès que vous évoluez au sein d'une organisation dépassant une taille ou il impossible de connaitre personnellement chacune des personnes, la construction et l'entretien d'un réseau d'informations est essentielle pour mener à bien des missions de responsable sécurité. Notre propos se focalisera sur le second type de réseau ; celui constitué de personnes non spécialisées dans la sécurité.
Ce réseau se créé typiquement au fil du temps et des rencontres avec les personnes, ce dans le cadre des projets ou des opportunités. Les relations se mettent en place graduellement et se développent dans le temps, ne bousculez pas les choses en cherchant à allez trop vite : Ce type de relation se construit dans le temps et se doit d'être entretenue de façon tangible et perceptible pour chacune des parties.
Recommandations
- Le réseau ne se développe pas tout seul : Il faut donc aller vers les personnes pour établir une relation inter-personnelle dépassant le seul cadre d'un projet. Ne restez pas dans votre bureau à faire des mails toute la journée, déplacez-vous pour aller dans les services et rencontrer les personnes dans leur environnement.
- Lorsque l'une de vos sources vous informe d'un problème ou d'un dysfonctionnement, assurez-vous que ces informations sont effectivement utilisées et ce sans délai excessif. Il est essentiel qu'une solution même simple soit apportée à tout problème remonté : Dans le cas contraire, la source ne sera plus encouragée à vous remonter des infos car elle se dira "Cela ne sert à rien que je remonte des problème, rien n'est fait derrière". Phénomène classique "d'auto-tarissement" de la source.
- Dans le cadre de la résolution du problème, si cela fait du sens et si le niveau de sensibilité le permet, n'hésitez à impliquer la source dans le processus de diagnostic ou à poser des questions complémentaires. La source passe ainsi d'un rôle de spectateur dans la résolution du problème à celui d'acteur.
- Revenez personnellement vers la source pour l'informer que le problème a été solutionné, ou plus généralement que l'information a été utilisée comme il se devait ; remerciez-là de façon explicite.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens