SÉCURITÉ DE L’INFORMATION La sécurité des environnements technologiques a pris beaucoup d’ampleur ces dernières années. Les entreprises accordent une attention rigoureuse au déploiement efficace de mesures de protection tels pare-feu et antivirus, mais en revanche elles tardent à engager la participation des employés dans leurs efforts en matière de sécurité.
On croit à tort qu’il s’agit d’une responsabilité incombant aux TI uniquement. En réalité, la protection de l’information est l’affaire de tous. En effet, on ne peut établir de véritable sécurité sans la participation de l’ensemble des employés. Il ne s’agit pas uniquement de protéger l’équipement, mais les données également.
D’ailleurs, on ne parle plus de sécurité informatique de nos jours, mais bien de sécurité de l’information. Le périmètre de protection érigé autour des systèmes peut donner une fausse impression de sécurité. Sans la participation de tous les employés, pourtant, il demeure bien incomplet.
Pour que le personnel d’une organisation acquière les réflexes sécuritaires adéquats, il importe de mettre en place des mesures de rappel à cet égard. Les pratiques à adopter sont connues : changement de mot de passe périodiques, mise à niveau des applications de sécurité, chiffrement des données en diverses circonstances, précautions lors des déplacements, etc. Le problème est que trop d’utilisateurs ne font pas usage de ces pratiques de façon systématique. Il est donc primordial de sensibiliser les employés à l’importance de protéger les actifs informationnels de l’organisation.
La sensibilisation se distingue de la formation. En matière de sécurité, la formation est dispensée aux techniciens et aux administrateurs de systèmes afin de les aider à ériger une infrastructure étanche autour des informations stratégiques de l’entreprise. Elle porte sur des sujets comme la gestion des accès, l’installation de pare-feu, la programmation d’applications Java sécuritaires…
La sensibilisation, quant à elle, s’adresse à l’ensemble du personnel. Sa nature n’est ni théorique ni didactique, mais éducative – à la façon des campagnes de sécurité routière des années 70 faisant la promotion du port de la ceinture.
Activité récurrente
Pour être efficace, la sensibilisation doit se faire de façon récurrente. Beaucoup d’entreprises se contentent d’un événement spécial sur la sécurité une fois l’an. Certes, il peut s’agir d’une mesure efficace afin que les concepts de sécurité fondamentaux soient bien compris. Mais pour que le message soit véritablement assimilé, il doit être répété régulièrement. À cet effet, les organisations ont tout intérêt à inclure des activités et des mesures de sensibilisation permanentes à leur politique de sécurité globale. Affiches, courriels, messages dans le journal d’entreprise, jeu-questionnaire en ligne et autres concours n’en sont que quelques exemples. Le secret consiste à véhiculer le message de façon agréable et amusante.
Peu d’entreprises ont franchi le pas de la sensibilisation. Les dirigeants n’ont pas encore saisi tous les avantages qu’ils peuvent en retirer et, pour cela, hésitent à mettre en œuvre un programme comportant tout de même certaines contraintes. Leur réticence est sans doute normale si l’on considère que la sécurité des TI est un domaine somme toute très jeune.
Au départ, il importe de savoir que la sensibilisation continue s’adapte aux besoins de chaque entreprise. Il n’existe pas de recette standard ; il s’agit de faire les choses à la hauteur de ses moyens. Les coûts d’un programme de sensibilisation peuvent donc varier de quelques milliers à quelques dizaines de milliers de dollars. Quelle que soit l’envergure de ce programme, il s’agit d’argent bien investi, d’un complément essentiel aux dépenses importantes que consacrent les entreprises à la protection de leurs systèmes.
En fait, la sécurité de l’information se compare à l’hygiène dentaire ; on peut en faire un événement spécial annuel comme s’il s’agissait d’une visite chez le dentiste, mais on doit porter une attention soutenue aux mesures de protection, de la même façon qu’on se brosse les dents au quotidien.
Tôt ou tard, les entreprises devront réaliser que la sensibilisation à la sécurité n’est pas une perte de temps, ni d’argent. La sécurité de l’information est devenue stratégique, et son efficacité passe par la participation de tous les employés. Pour cette raison, la politique de sécurité organisationnelle doit englober des mesures de sensibilisation à la sécurité.
François Daigle est directeur, services professionnels et formation, chez OKIOK
À lire aussi cette semaine: Groupe TMX ferme le centre de données de Montréal L’actualité des TI en bref De nouveaux supports d’ordinateurs
