lundi 16 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Les secrets d’une politique de sécurité bien menée

Les secrets d’une politique de sécurité bien menée

Claire Chevrier , 01 Informatique (n° 1885)

vendredi 19 janvier 2007, sélectionné par Spyworld

logo

Pour obtenir l’adhésion des utilisateurs, le responsable sécurité multiplie les actions sur le terrain et relaie ses messages en s’appuyant sur les RH.

Une image de super-technicien colle encore aux basques du responsable de la sécurité des systèmes d’information (RSSI). Ce n’est pourtant qu’une facette de son métier. « Pour que les utilisateurs comprennent et respectent les contraintes qu’on leur impose, il faut les rencontrer, les sensibiliser, et vulgariser son message », explique Vincent Trely, DSI du groupe industriel ARO, aussi en charge de la sécurité. La tâche est d’autant plus ardue que « si l’on veut rester efficace, il faut maintenir l’intérêt dans le temps », souligne Sylvère Léger, RSSI du groupe d’assurance AGF.

Révéler son mot de passe est une faute grave

Un bon moyen de faire comprendre aux salariés que l’on ne plaisante pas avec la sécurité est d’annexer la charte sécurité ou, à défaut, la charte informatique au contrat de travail. Ce que fait le groupe ARO depuis quatre ans. Pour obtenir son identifiant et son mot de passe, le nouvel arrivant doit avoir signé la charte, qui stipule que donner son mot de passe à un collègue constitue une faute grave. Nombre d’entreprises tiennent aussi à la disposition des salariés de la documentation sur l’intranet.

Ainsi, à TDF, des fiches pratiques adaptées à chacune des applications utilisées dans l’entreprise sont disponibles en consultation. Cette documentation répond bien aux questions des utilisateurs, mais elle n’entretient pas leur vigilance. « La sensibilisation passive, comme la communication sur l’intranet, ne concerne que les utilisateurs s’intéressant au sujet », note Jean-François Louâpre, responsable de la gestion du risque informatique de Deutsche Bank pour l’Europe, le Moyen-Orient, et l’Afrique.

Pour associer tous les employés, les RSSI s’invitent parfois dans le fil d’actualité de l’entreprise. Au besoin, ils reprennent les informations parues dans la presse écrite et télévisuelle pour donner plus de poids à leurs alertes. C’est l’occasion aussi de rappeler les bonnes pratiques. Vincent Trely - via l’intranet ou un courriel si la menace est importante - explique ainsi comment détecter le virus qui fait la une des journaux, précise ses symptômes, rappelle comment mettre à jour son antivirus, etc.

« Souvent, je rajoute des informations qui répondent aux besoins personnels des utilisateurs. Je leur donne l’adresse pour télécharger des patchs correctifs, et leur indique les procédures à suivre. » Le DSI d’ARO encourage ainsi les utilisateurs qui possèdent un ordinateur à leur domicile à lire sa note.

Un guide des usages plus accessible

Les RSSI tentent aussi de rendre plus digestes les politiques de sécurité. Par exemple, celle du Groupe AGF est consignée dans un document de plus de 100 pages. Beaucoup trop long pour l’utilisateur lambda ! « Nous avons mené un gros travail pour en retirer la substantifique moelle, et résumer dans deux documents de cinq pages ce qu’il faut retenir sur l’usage du poste de travail et d’Internet », raconte Sylvère Léger, d’AGF.

La Caisse des dépôts a, pour sa part, diffusé auprès de ses collaborateurs un guide mettant en scène la charte sécurité. « Chaque page fournit des conseils pratiques sur un sujet précis. Par exemple, le rôle de l’utilisateur, l’accès aux systèmes d’information, la gestion des mots de passe, etc. C’est un récapitulatif de tout ce qu’il faut faire et ne pas faire », note Alain Bouillé, directeur sécurité des systèmes d’information du groupe.

Lors d’une opération de sensibilisation consécutive, par exemple, à l’adoption d’une nouvelle charte, le responsable sécurité peut aller jusqu’à mener une campagne d’affichage, voire distribuer des prospectus, des tapis de souris, des T-shirts.... Attention, cependant, à ne pas se mettre en porte-à-faux avec la culture de l’entreprise. « Notre souci est de toujours rester dans la sobriété, commente Alain Bouillé. Le recours à des objets publicitaires ou à des jeux, perçus comme des gadgets, serait contre-productif. » Autre inconvénient de ce type d’actions : elles exigent de dégager un budget.

Pour toucher régulièrement les utilisateurs et accroître l’impact de son action, il est recommandé de se greffer sur des manifestations organisées par d’autres services. Ainsi, aux AGF, Sylvère Léger, va profiter d’un plan de communication groupe autour de la déontologie. Et cela en faisant valoir que la sécurité au sein des systèmes d’information en est l’une des composantes. Mais les opérations les plus marquantes pour les utilisateurs sont celles où ils rencontrent les personnes en charge de la sécurité.

C’est pourquoi, à ARO et à la Deutsche Bank, les RSSI tirent parti des séminaires d’intégration des nouveaux embauchés pour expliquer la politique sécurité pendant trente à quarante-cinq minutes et répondre aux questions. « Ces sessions aident les participants à identifier leurs contacts en termes de risques informatiques. Le but étant qu’ils n’hésitent pas ensuite à les appeler en cas de doute », explique Jean-François Louâpre.

La Deutsche Bank organise aussi des sessions complémentaires de sensibilisation à la demande. Le service sécurité effectue alors une démonstration en simulant, par exemple, le piratage d’un mot de passe. Les utilisateurs mesurent ainsi la vulnérabilité d’un code ne comportant que des lettres. « Mais ce type de sessions demande un gros investissement en temps de préparation. Et la personne qui les anime doit allier compétences techniques et pédagogiques : un cocktail parfois difficile à trouver », regrette Jean-François Louâpre. S’il reste persuadé de l’effet maximum des démonstrations, il sait aussi qu’il est impossible d’y associer les 11 000 salariés du groupe.

Des programmes spécifiques pour les cadres dirigeants

Guillaume Rincé, RSSI de TDF, est aussi un chaud partisan des actions sur le terrain. « Les retours d’expérience montrent que les approches académiques, avec exposé des grands principes sur Powerpoint, ne fonctionnent pas vraiment. Si l’on ne parle pas aux gens de ce qu’ils vivent, une politique de sensibilisation à la sécurité n’a guère d’impact. »

En huit mois, son équipe a rencontré 200 des 2 800 salariés de l’entreprise par petits groupes de 10 ou de 12. Lors de ces réunions d’une heure, le correspondant sécurité n’a pas un discours préparé. Il s’appuie sur un jeu pour animer la séance. Il forme des équipes qui tirent des questions et tentent d’y répondre. Le dialogue qui s’instaure l’aide à délivrer son message au fil des questions.

« Nous avons centré notre formation sur la sécurité bureautique. Mais les sujets abordés sont divers : la messagerie, les imprimantes multifonctions, la gestion des mots de passe, etc. », explique le RSSI de TDF. Son objectif est d’amener les utilisateurs à se poser les bonnes questions en termes de risques, et à agir efficacement.

Pour mieux recenser les sujets à aborder en termes de sensibilisation, la Caisse des dépôts utilisera l’année prochaine un système de quiz. Des populations précises, comme les comptables ou les financiers, recevront un petit questionnaire par courriel, auquel ils devront répondre. « Nous identifierons ainsi les problèmes, et nous pourrons organiser des séances ciblées de sensibilisation d’une heure en face à face », explique Alain Bouillé.

Dans leurs programmes de sensibilisation, les RSSI ont souvent un volet spécifique pour les cadres dirigeants. Ainsi Vincent Trely effectue-t-il deux ou trois conférences par an auprès des managers pour leur donner des informations sur l’évolution de la politique de sécurité, les nouvelles menaces, etc. « C’est par leur intermédiaire que je peux asseoir la légitimité de ma politique de sécurité. Et c’est aussi par eux qu’il est possible de sanctionner les utilisateurs en cas de faute », souligne le DSI d’ARO.

Les informaticiens ont également droit à des attentions particulières mais pour d’autres raisons. « S’ils connaissent les diverses menaces, ils ont souvent tendance à penser que les problèmes de sécurité n’arrivent qu’aux autres », remarque Alain Bouillé, de la Caisse des dépôts. Il a donc organisé une demi-journée de formation pour un millier d’informaticiens.

A la suite de ces sessions, le service sécurité a été très fortement sollicité. Cela prouve que les informaticiens avaient tendance à vouloir résoudre seuls les problèmes auxquels ils étaient confrontés, risquant ainsi de créer des brèches dans le système. Conclusion : tout le monde, sans exception, doit être sensibilisé à la sécurité.

L’action du RSSI en trois questions

Pourquoi mener des opérations de sensibilisation ?

Tout logiciel ou matériel peut être contourné. Une politique de sécurité efficace nécessite donc d’associer tous les utilisateurs. D’autant que ceux-ci sont souvent crédules, et n’ont pas conscience des risques qu’ils font courir à leur entreprise.

Quelles sont les populations ciblées ?

Les RSSI sensibilisent trois types d’employés : les dirigeants, qui deviennent ensuite un soutien ; les utilisateurs, pour lesquels la sensibilisation peut-être globale ou ciblée en fonction des métiers ; et enfin les informaticiens qui sont conviés à des sessions spécifiques pour leur rappeler leurs rôles et leurs devoirs.

Quels sujets aborder ?

Ils sont multiples : la gestion des mots de passe, les attaques virales, les droits d’auteur, l’usage d’Internet et de la messagerie, la protection de l’information, les obligations de déclaration à la Cnil, entre autres.

On informe plus qu’on ne forme

Selon le Clusif, seulement un tiers des entreprises françaises de moins de 500 salariés ont mis en place un programme de sensibilisation à la sécurité - principalement par la publication d’informations. Le ratio atteint 50 % pour les entreprises de plus de 1 000 salariés. Et lorsqu’ils mènent ce type d’opération, moins de un quart des DSI et RSSI tentent d’en mesurer les retours.

GIF - 13.2 ko

Cinq règles d’or pour faire passer son message

1. Utiliser des supports variés pour attirer régulièrement l’attention des utilisateurs.

2. Favoriser le face à face avec des sessions courtes (de 45 à 60 minutes) pour permettre au plus grand nombre d’y assister.

3. Apporter des informations pragmatiques, rattachées à l’environnement direct de l’entreprise. Donner des exemples concrets, effectuer des démonstrations.

4. S’associer aux services RH, juridique, ou communication pour appuyer ses actions.

5. Impliquer régulièrement l’encadrement en leur présentant des tableaux de bord, en les faisant participer à des comités de pilotages, etc.

Vrai/Faux

Une politique de sensibilisation coûte cher

Faux. La conception d’affiches ou la distribution d’objets publicitaires exige, certes, un budget. Mais on peut aussi mener une politique de sensibilisation sans moyens financiers spécifiques. Diffuser des alertes, rédiger des articles, organiser des réunions, répondre aux questions demandent davantage d’énergie et de temps que d’argent.

Le RSSI peut passer en force

Faux. Dans les faits, imposer une politique de sécurité de façon dictatoriale est impossible. Le RSSI doit souvent discuter, procéder à des arbitrages. Par exemple, bannir l’usage des clés USB sans autre explication serait inefficace. Le RSSII est obligé d’expliquer ses raisons (risque de virus, de vol d’informations, etc.). Et il lui faut négocier des solutions. Au final, seuls quelques collaborateurs habilités pourront utiliser des clés USB fournies par l’entreprise. Et cela parce qu’ils auront démontré à leur direction qu’ils en avaient vraiment besoin.

Il est difficile de mesurer l’effet de telles politiques

Vrai. Certains RSSI réfléchissent à développer des outils qui renverraient une mesure objective de leurs actions. Ce qui est loin d’être simple. La sensibilisation doit être envisagée comme une assurance pour éviter les dégâts ou, tout du moins, les limiter. Ensuite, sauf à interroger les utilisateurs pour vérifier ce qu’ils ont retenu et sur leurs pratiques, il est bien difficile de savoir si elle s’est révélée efficace. Alors, calculer un retour sur investissement s’avère quasi impossible.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :