La sécurité en entreprise : les erreurs à éviter
Par Joona Airamo, Stonesoft

lundi 26 octobre 2009

20091026_02 Une politique de sécurité strictement définie est-elle synonyme de meilleure sécurité ? Malheureusement, non. Dans le monde réel, si une politique de sécurité est définie trop strictement, les collaborateurs ne la respecteront pas. Lorsque les règles de sécurité entravent l'activité au quotidien, les employés sont tentés de les contourner plutôt que s'y conformer. Par ailleurs, une politique de sécurité trop stricte nécessite un important dispositif de maintenance.

Voici quelques-unes des incongruités auxquelles j'ai déjà eu l'occasion d'être confronté.

- Seuls les documents portant la mention « public » peuvent être partagés.

- La politique de sécurité décrit à la lettre à quel stade devrait être chaque configuration sur chaque serveur.

- Ne laissez JAMAIS, même quelques secondes, votre ordinateur portable sans surveillance en dehors des locaux de l'entreprise.

- N'écrivez pas vos mots de passe. Il est essentiel de choisir des mots de passe compliqués et de les changer fréquemment

Des règles trop contraignantes ne seront pas respectées par les employés qui préfèreront agir selon leurs propres jugements. C'est dans ces conditions qu'il existe un véritable risque qu'ils agissent en contradiction avec les intérêts de l'entreprise. Ils peuvent, par exemple, désactiver certaines options de sécurité sur leurs ordinateurs. Même si les règles de sécurité peuvent s'avérer parfois très utiles, leurs excès les rendent absurdes.

Soutenir sans entraver

De meilleurs résultats sont obtenus lorsque l'ensemble des règles de sécurité est clair et compréhensif. Les règles de sécurité doivent soutenir, et non pas entraver, la performance des taches quotidiennes. Les employés doivent comprendre les tenants et aboutissants de ces règles. Il est important qu'une relation de confiance existe entre les employés et la direction.

Une autre erreur est souvent faite par les entreprises en ce qui concerne les règles de sécurité : elles sont élaborées par les services informatiques et ne prennent pas en compte les besoins et processus spécifiques de l'ensemble de l'entreprise. Lorsque de telles règles sont développées, chaque service de l'entreprise devrait être interrogé. En agissant ainsi, les personnes dont le travail est directement concerné par les règles de sécurité peuvent émettre leurs opinions et il est possible d'éviter une situation où ces règles bloqueraient la croissance de l'activité.

Difficile équilibre entre trop et trop peu

On voit parfois les règles des ressources humaines mélangées avec celles de la sécurité informatique. Cela peut arriver, par exemple, lorsque les médias sociaux tels que Youtube ou Facebook sont interdits pour des raisons de sécurité informatique. Les employés n'apprécient pas que leur liberté d'échanger des informations soit entravée au nom de la sécurité informatique.

Cependant, le fait est que les medias sociaux ne constituent pas une menace sérieuse si la sécurité informatique et les équipements de l'entreprise sont parfaitement à jour. Les mêmes restrictions venant du département des Ressources Humaines ou en raison d'une perte de productivité seraient plus facilement acceptées et causeraient moins de mécontentement.

Et à propos des mots de passe : l'idéal est de ne les partager avec personne. Cependant, il y a certaine situations dans lesquelles le service informatique a besoin de connaître le mot de passe d'un employé. Ces derniers devraient en être informés de manière très claire. Ainsi, les règles de sécurité n'engendrent pas de conflits internes mais se fondent en souplesse dans les activités de l'entreprise.

Il est plus sécurisant pour les entreprises que les employés choisissent un mot de passe élaboré et l'écrivent de manière à s'en rappeler plutôt que d'en choisir un simpliste qu'ils se contentent de se rappeler. Les entreprises devraient encourager leurs employés à utiliser des gestionnaires de mots de passe, tels que password safes, qui peuvent supporter des centaines de mots de passe derrière une clé maîtresse. Un mot de passe inscrit sur un papier rangé dans votre portefeuille n'est pas non plus le pire des scenarios puisque les gens font en général attention à bien garder leurs portefeuilles et leurs contenus de valeur.

Imprimer l'article