Dans le domaine de la sécurité informatique il y a une tendance de diaboliser les employés, peut être que vous avez déjà entendu une de cette expression:

L’employé est le maillon le plus faible dans la sécurité d’un système d’information d’une entreprise.

Cette expression fort intéressante puisqu’elle rappelle que le facteur humain reste le plus important même dans la sécurité informatique, est très prisée par les professionnels du domaine et aussi par les managers à tous les niveaux (jusqu’au top management), puisqu’elle leur permet inconsciemment de rejeté la faute sur les opérateurs à cause d’une logique fallacieuse utilisée dans ça compréhension.

Dave Vs Infosec

Anecdote

En début 2011 j’avais rejoint une multinationale française actant dans le domaine des services à valeur ajoutée SMS/MMS/IVR ici au Maroc, leurs plate-formes avaient plusieurs soucis en termes de sécurité, moi et un autre collègue avions essayé d’en parler avec nos quatre managers (pour quatre développeurs, le népotisme n’y est surtout pas pour quelque chose quand le webdesigner qui ne connaît même pas MVC est chef de projet technique), malheureusement celui qui était compétent ne voulais pas utiliser les ressources de l’équipe dans ce sens…

Fin 2011 après plusieurs issues de piratages un nouveau chef de projet remplace une qui nous avait quitté, il commence automatiquement à travailler sur l’issue, il implique les autres managers, et après quelques semaines de travail la solution est trouvé:

« Ils nous ont donné un document à signer, qui en bref signifie que la sécurité des applications déployés est de notre responsabilité (nous les opérateurs) et que dans le cas d’une attaque majeur nous risquions des mises à pied et si cela se répétait nous serions viré. »

L’employé n’est-il pas responsable de la sécurité des données?

Avant de répondre à cela il faut se poser deux questions concernant le contexte de travail de cet employé:

  1. A t-il reçu une formation spécial en sécurité informatique?
  2. A t-il les ressources nécessaires pour garantir la sécurité des données qu’il gère?

Si la réponse à une de ces deux questions est non alors la réponse à la question initial est non, non l’employé ne peut pas garantir la sécurité des données si sont employeur ne lui accorde pas les moyens nécessaires pour le faire.

L’employé reste le maillon faible mais c’est la compréhension de l’expression cité au début de l’article qui est fausse, alors il faut absolument prendre une position positive vis-à-vis des employés dans le contexte de la sécurité au lieu de les pénaliser.

Laisser un commentaire