Sensibilisation ou désensibilisation ?

"EXCLUSIF 3.000 entreprises françaises victimes d'espionnage économique en trois ans" - article de La Tributune.fr du 25/06/09 - .. Petit à petit, les langues se délient et les informations sur l'impact de la non-sécurité commencent à se diffuser dans notre très latine culture du non-dit.

Ce type d'information quantitative éclaire mieux la situation : NON la sécurité des systèmes d'information ne concerne pas que les secteurs sensibles, NON les tentatives malveillantes ne ciblent pas que les grandes entreprises, et pourtant....Combien de manager vont en tirer des conséquences pratiques à leur niveau ?

L'article de La Tribune est pourtant très documenté : " ...Les attaques par "visiteurs autorisés et intrusions consenties" représentent 16,95 % des attaques, suivis par les atteintes aux savoir-faire (11,8 %), les risques informatiques (10,72 %), les atteintes physiques sur sites (10,53 %), les désorganisations et fragilisations orchestrées (6,54 %), les atteintes à la réputation (5,26 %) et l'exploitation des vulnérabilités humaines (4,57 %)...."

C'est peut être là que le bas blesse : que veulent dire tous ces termes bien cryptiques pour un manager dont le métier est la finance, la production, la R&D et non la sécurité.


Concrètement, cela impose une remise en cause de l'information et de la formation à la sécurité au sein des entreprises.

Commençons par le début : quelle formation est donnée dans les universités et les écoles pour les futurs cadres qui détiendront les informations clés de l'entreprise ? A vrai dire peu ou pas de cursus offre un minimum de bagage a ces étudiants, parfois très pointus dans les nouvelles technologies, afin de "maitriser la bête". C'est un peu comme si la formation à la conduite se focalisait sur la capacité à conduire le plus vite possible ou à améliorer la carburation des moteurs en oubliant que une voiture mal maitrisée peut être très dangereuse pour soi, et pour autrui.

Une fois dans l'entreprise, la mise en situation de la sécurité devrait être un axe clé de la sensibilisation. Mais comment ? Je propose une piste : comme on effectue des exercices d'évacuation pour prévenir les problèmes en cas d'incident, pourquoi la sécurité se limite t'elle à des campagnes très "théoriques" en matière de sécurité ?

Pourquoi ne pas faire des "exercices" de protection des informations pour les services RH ou des simulations pour les brevets de R&D ?

Concrètement, la sensibilisation devrait arrêter de "faire peur" et se focaliser sur une approche de coopération avec les managers métier pour mettre en situation les problèmes et les enjeux de la sécurité du SI.

La peur inhibe les initiatives alors que les exercices concrets permettent la prise de conscience et la coopération... Je vous proposerai dans les futurs posts sur ce blog quelques suggestions d'exercices pratiques.

Sensibiliser oui. Mais attention à force de crier au loup on finit par ...désensibiliser
Jean-Michel Craye
Responsable de la stratégie End User and Customer Care au sein d'Orange Business
Directeur marketing Securité au sein d'Orange Business.
Directeur Marketing et Ventes d'IPSEO.COM spécialiste des solutions WEB en SAS.
Directeur des systémes d'information du groupe Fleury Michon.
Consultant et Directeur de Projet au sein Digital Equipment - Compaq