Cela fait 30 ans que le TI tente de convaincre les utilisateurs de respecter un minimum de contraintes de sécurité. Le plus souvent en pure perte, ceux-ci continuant de laisser leurs mots de passe « secrets », bien en évidence en « postit » sur leur écran.
L’ambiguïté vient de ce que les usagers ne comprennent pas pourquoi le TI prend ces précautions et n’ont pas conscience des dangers qu’ils font courir à leur entreprise. C’est pour donner des arguments aux gens du TI que nous suggérons un plan de bataille en 10 points, issu de propositions de quelques spécialistes bien connus, pour les convaincre et les protéger, éventuellement à leur insu (à consommer avec humour…).

Publier une charte de sécurité

Attention, pas un document de 25 pages que personne ne lira, mais un document succinct d’une page au maximum, qui comportera 4 ou 5 items, que chaque membre de l’entreprise, depuis les dirigeants tout en haut de la hiérarchie, jusqu’à l’employé le plus modeste, signera. Cette charte sera omniprésente. On la verra partout : sur les murs, sur la page d’accueil des applications « maison », sur le bureau des PC. Elle fera partie de l’image de l’entreprise. Elle sera le célèbre « think » que tout le monde connaissait chez ibm…

Celui qui oubliera les recommandations sera passible de privation de mobile…

Simuler la réalité au plus près

Rien ne vaut une bonne simulation et si l’on ne dit pas que c’est une simulation, c’est encore mieux…

Ce qu’il faut c’est montrer concrètement les conséquences d’une attaque bien organisée. Le mieux est de prévoir une bibliothèque d’une dizaine de scénarios d’attaques : vols de mots de passe, phishing, fausse faille d’écriture dans une application, etc. Et d’agir sans prévenir…

Si l’on peut forcer le trait et exagérer les perturbations, personne ne vous le reprochera.

Convaincre le management

Rien ne pourra se faire sans l’appui des membres du management. Il faut absolument leur faire mesurer les conséquences que peut avoir une attitude désinvolte de leur part. Comme le fait de refuser de réinitialiser leurs machines tous les ans. L’une des facettes de leur métier est de protéger l’entreprise des actions malveillantes venues de l’extérieur, qui peuvent être des attaques financières menées par des prédateurs de Wall Street ou des cyber-attaques venues des profondeurs du dark web. Pour ce qui est des aspects techniques, ils doivent faire confiance à ceux dont c’est la fonction. Et toute initiative, hormis la prise d’otages de ces dirigeants, est bonne à prendre.

Compte tenu de l’ampleur de la tâche et des blocages psychologiques de nombreux usagers et dirigeants, toutes les méthodes sont les bienvenues pour que les responsables sécurité parviennent à leurs fins…
Ne pas hésiter à évaluer

Il n’y a rien de plus désagréable que de s’entendre dire que l’on est moins bon que le voisin, qui lui applique avec pertinence les règles de l’entreprise. Ce que l’on ne manquera pas de nous rappeler lors des entretiens de revalorisation de carrière à venir.

Les responsables sécurité emploieront tous les moyens pour noter les personnes et départements auxquels elles appartiennent, sur une dizaine de critères de sécurité. Comportements qu’il faudra mettre en valeur et récompenser en dollars sonnants et trébuchants.

Sanctionner

Sujet tabou s’il en est. Mais quand un agent met en péril les installations d’une entreprise, personne n’ira lui voter des félicitations. Le fait de ne pas respecter les règles sécuritaires de l’entreprise met toute l’infrastructure en danger et la cybercriminalité doit être prise autant au sérieux que n’importe quelle menace, interne ou externe. Tout se passe comme s’il était normal que nous vivions professionnellement en état permanent de risque de dégradation. Bien que nous utilisons des protocoles insuffisants, venus d’Internet, le minimum doit être fait pour nous protéger. A commencer par le cadrage comportemental des utilisateurs.

Inutile cependant de ressortir les vieux instruments de torture du moyen-âge. Encore que…

Communiquer sur les erreurs

La pertinence en termes de sécurité est largement liée à la veille technologique effectuée et à l’expérience accumulée. Il faut donc faire un gros effort de communication, non seulement sur les évènements constatés dans l’entreprise, mais aussi arrivés à l’extérieur. Sans se perdre dans le dédale d’attaques plus spectaculaires que dangereuses. Il existe de nombreux et très intéressants rapports publiés en permanence dans ce domaine, proposés par des spécialistes tels qu’IBM, Symantec, Kaspersky, etc. Ils seront épluchés en détails par ceux dont c’est la fonction.

La délation sera évidemment encouragée…

Ne pas se tromper sur le profil CISO (RSSI)

Les entreprises se trompent souvent sur le choix de leur responsable sécurité (CISO ou RSSI). Qui prennent des gestionnaires de la sécurité, alors qu’ils ont besoin de techniciens affirmés. Car il est illusoire de comprendre quoi que ce soit aux problématiques posés, si l’on ne sait pas programmer en assembleur ou en C et si l’on n’est pas compétent en termes de systèmes d’exploitation et d’architectures machines ou réseaux.

La difficulté étant que le CISO idéal vit dans son monde et que l’on a du mal à l’intégrer dans le cadre règlementaire de l’entreprise. Il a besoin d’être libre, d’agir selon son instinct et d’aller là où personne ne devrait normalement aller (deep web). N’hésitez-pas, prenez un marginal. Si possible honnête.

Penser à la formation

Pour être efficace il faut envisager un « cursus » de formation permanente sur les différents aspects de la sécurité. On fera du e-learning, des webinaires, des vidéos, des QCM, autant d’artefacts qui amélioreront le comportement global des individus.

N’hésitez pas à communiquer sur les catastrophes qui « n’arrivent qu’aux autres »… et présentez les en détails. Les usagers devront assimiler le fait qu’ils conduisent un « truck » de 30 tonnes sur un lac gelé, mais que de temps en temps des craquements se font entendre, qui n’ont rien à voir avec les cardans. Tout ce qui permettra de prendre conscience de la situation inconfortable dans laquelle ils sont, eux et l’entreprise, sera accueilli avec bienveillance. Des « serious games », par exemple.

Etendre le périmètre de sécurité à la vie personnelle

De nombreuses attaques sont issues de malwares « récupérés » au domicile personnel, les utilisateurs se connectant avec la machine professionnelle à des sites interdits. Il est pourtant simple de comprendre que l’on ne se connecte jamais à ce type de sites. Et que si l’on veut risquer sa vie, il faut le faire avec sa propre machine.

Trouver des référents

Comme pour d’autres aspects, le CISO et le responsable TI veilleront à se trouver des correspondants, des référents métiers dans chacun des départements, au moins les plus exposés. En priorité, ceux qui communiquent avec l’extérieur. Ils en feront une « garde rapprochée », des évangélistes, chargés de relayer la bonne parole sécuritaire. Ces référents seront, si possible écoutés dans leur propre sphère et feront du prosélytisme actif, une arme contre les comportements anormaux. On ne les désignera pas. C’est eux qui se porteront volontaires. Evidemment, ça peut surprendre.