Quelles sont les cons\u00e9quences des fuites de donn\u00e9es pour les employ\u00e9s ? Pour r\u00e9pondre \u00e0 cette question, nous commen\u00e7ons par \u00e9tudier les causes de la plupart de ces incidents qui, selon mon exp\u00e9rience, sont souvent dus \u00e0 un manque de rigueur, \u00e0 l\u2019irresponsabilit\u00e9 des employ\u00e9s ou \u00e0 l\u2019inefficacit\u00e9 de la direction. En d\u2019autres termes, quelle que soit la mani\u00e8re dont on aborde la question, le facteur humain est au c\u0153ur du probl\u00e8me.<\/p>\n
Essayez de demander aux employ\u00e9s quels changements dans leur flux de travail les aideraient \u00e0 am\u00e9liorer leur productivit\u00e9 et leur niveau de satisfaction au travail. Les gens veulent g\u00e9n\u00e9ralement travailler d\u2019une mani\u00e8re qui leur convient et sans interf\u00e9rence. Ils veulent, par exemple, avoir des droits d\u2019administrateur sur leur ordinateur, pouvoir installer n\u2019importe quel logiciel, et accorder l\u2019acc\u00e8s aux donn\u00e9es et aux syst\u00e8mes de leur \u00e9quipe \u00e0 leur guise. Ils veulent \u00e9galement inviter des personnes externes au bureau. Ce genre de choses.<\/p>\n
Cependant, presque personne n\u2019est vraiment pr\u00eat \u00e0 assumer la responsabilit\u00e9 de ce qu\u2019il veut ou trouve pratique. De nombreux employ\u00e9s (et leurs sup\u00e9rieurs aussi, parfois) sont complaisants et pensent qu\u2019ils sont en quelque sorte prot\u00e9g\u00e9s quoi qu\u2019ils fassent, et que quelqu\u2019un pourra toujours rem\u00e9dier \u00e0 la situation d\u2019un coup de baguette magique. Bien s\u00fbr, nous, les experts en cybers\u00e9curit\u00e9 des entreprises, faisons toujours de notre mieux pour prot\u00e9ger les utilisateurs, mais nous ne sommes pas omnipotents.<\/p>\n
La deuxi\u00e8me cause des incidents les plus graves est, d\u2019une mani\u00e8re g\u00e9n\u00e9rale, une gestion inefficace des processus d\u2019entreprise, qui englobe \u00e9galement les actions ou l\u2019inaction du personnel charg\u00e9 de la s\u00e9curit\u00e9 de l\u2019information et de l\u2019informatique. Une entreprise qui prend la cybers\u00e9curit\u00e9 au s\u00e9rieux ne subit pas de dommages importants si un employ\u00e9 ins\u00e8re une cl\u00e9 USB avec un fichier infect\u00e9, ouvre un e-mail avec une pi\u00e8ce jointe malveillante ou suit une URL infect\u00e9e. Dans tous les cas, une cha\u00eene d\u2019erreurs doit se produire dans la bonne combinaison :<\/p>\n
Chacun de ces facteurs est la cons\u00e9quence d\u2019une d\u00e9cision. Cependant, la cause globale de l\u2019incident est une combinaison de ces facteurs. La mani\u00e8re dont l\u2019incident affecte la motivation des employ\u00e9s d\u00e9pend largement de la r\u00e9action de la direction ; parfois, les mesures adopt\u00e9es par une entreprise pour emp\u00eacher la r\u00e9p\u00e9tition de tels incidents peuvent faire beaucoup plus de d\u00e9g\u00e2ts que l\u2019incident lui-m\u00eame.<\/p>\n
Voici un exemple concret. Une banque a connu \u00e0 plusieurs reprises des incidents \u00e0 cause d\u2019attaques externes et d\u2019erreurs commises par les employ\u00e9s. Les syst\u00e8mes de la banque ont donc \u00e9t\u00e9 hors service pendant un certain temps. La direction, soucieuse de motiver le personnel responsable et de punir les fautifs, a licenci\u00e9 \u00e0 plusieurs reprises son personnel informatique et de cybers\u00e9curit\u00e9. Dans le m\u00eame temps, bien qu\u2019elle s\u00fbt que le syst\u00e8me bancaire automatis\u00e9 pr\u00e9sentait des vuln\u00e9rabilit\u00e9s structurelles, la direction n\u2019a allou\u00e9 aucun budget pour cr\u00e9er un nouveau syst\u00e8me ou pour r\u00e9parer l\u2019ancien. Les employ\u00e9s exp\u00e9riment\u00e9s ont r\u00e9alis\u00e9 que n\u2019importe qui pouvait faire une erreur un jour, et l\u2019entreprise a choisi d\u2019embaucher de nouvelles personnes plut\u00f4t que de r\u00e9soudre le probl\u00e8me sous-jacent. Ils ont donc vite cherch\u00e9 un emploi ailleurs. Les nouveaux employ\u00e9s ne connaissaient pas bien le syst\u00e8me de l\u2019entreprise, qui avait \u00e9t\u00e9 d\u00e9velopp\u00e9 en interne, et de ce fait, ils commettaient encore plus d\u2019erreurs et passaient plus de temps \u00e0 entretenir les syst\u00e8mes parce qu\u2019il leur manquait des connaissances essentielles. Le r\u00e9sultat : des clients ont quitt\u00e9 la banque, et celle-ci est pass\u00e9e d\u2019une position dans le top 50 \u00e0 se retrouver au-del\u00e0 de la 200e place.<\/p>\n
Je crois qu\u2019il est important de ne pas d\u00e9motiver vos employ\u00e9s. Aidez-les plut\u00f4t \u00e0 comprendre leurs responsabilit\u00e9s, les valeurs de l\u2019entreprise et l\u2019importance de la contribution de leurs coll\u00e8gues. Vous pouvez leur d\u00e9montrer tout cela par un soutien mat\u00e9riel, un respect mutuel et des r\u00e8gles claires.<\/p>\n
Les r\u00e8gles de l\u2019entreprise en mati\u00e8re d\u2019informatique doivent expliquer simplement et pr\u00e9cis\u00e9ment ce qui est autoris\u00e9 et ce qui ne l\u2019est pas, et ce que le personnel doit faire en cas de cyber-incident, y compris en termes de vie priv\u00e9e et de confidentialit\u00e9. Le chef d\u2019\u00e9quipe doit communiquer clairement les informations \u00e0 ses subordonn\u00e9s. Pendant un cyber-incident, mais aussi apr\u00e8s, il doit expliquer le probl\u00e8me et ses cons\u00e9quences (qui peuvent inclure des sanctions). Cela permet de garder une atmosph\u00e8re d\u2019\u00e9quipe saine et peut aider l\u2019entreprise \u00e0 \u00e9viter de reproduire les m\u00eames erreurs.<\/p>\n
Vous pouvez utiliser cette feuille de route en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information pour vous concentrer sur la motivation de l\u2019\u00e9quipe et la r\u00e9duction de l\u2019impact des cyber-incidents :<\/p>\n