Ce type d'information quantitative éclaire mieux la situation : NON la sécurité des systèmes d'information ne concerne pas que les secteurs sensibles, NON les tentatives malveillantes ne ciblent pas que les grandes entreprises, et pourtant....Combien de manager vont en tirer des conséquences pratiques à leur niveau ?
L'article de La Tribune est pourtant très documenté : " ...Les attaques par "visiteurs autorisés et intrusions consenties" représentent 16,95 % des attaques, suivis par les atteintes aux savoir-faire (11,8 %), les risques informatiques (10,72 %), les atteintes physiques sur sites (10,53 %), les désorganisations et fragilisations orchestrées (6,54 %), les atteintes à la réputation (5,26 %) et l'exploitation des vulnérabilités humaines (4,57 %)...."
C'est peut être là que le bas blesse : que veulent dire tous ces termes bien cryptiques pour un manager dont le métier est la finance, la production, la R&D et non la sécurité.
Concrètement, cela impose une remise en cause de l'information et de la formation à la sécurité au sein des entreprises.
Commençons par le début : quelle formation est donnée dans les universités et les écoles pour les futurs cadres qui détiendront les informations clés de l'entreprise ? A vrai dire peu ou pas de cursus offre un minimum de bagage a ces étudiants, parfois très pointus dans les nouvelles technologies, afin de "maitriser la bête". C'est un peu comme si la formation à la conduite se focalisait sur la capacité à conduire le plus vite possible ou à améliorer la carburation des moteurs en oubliant que une voiture mal maitrisée peut être très dangereuse pour soi, et pour autrui.
Une fois dans l'entreprise, la mise en situation de la sécurité devrait être un axe clé de la sensibilisation. Mais comment ? Je propose une piste : comme on effectue des exercices d'évacuation pour prévenir les problèmes en cas d'incident, pourquoi la sécurité se limite t'elle à des campagnes très "théoriques" en matière de sécurité ?
Pourquoi ne pas faire des "exercices" de protection des informations pour les services RH ou des simulations pour les brevets de R&D ?
Concrètement, la sensibilisation devrait arrêter de "faire peur" et se focaliser sur une approche de coopération avec les managers métier pour mettre en situation les problèmes et les enjeux de la sécurité du SI.
La peur inhibe les initiatives alors que les exercices concrets permettent la prise de conscience et la coopération... Je vous proposerai dans les futurs posts sur ce blog quelques suggestions d'exercices pratiques.
Sensibiliser oui. Mais attention à force de crier au loup on finit par ...désensibiliser