Série politiques de sécurité TI en entreprise 2
Gestion comportementale et éducation des utilisateurs
Il est facile, voire même trop facile, de penser à la sécurité informatique comme étant quelque chose de simplement technique, qu'il s'agit d'appliquer X configuration, Y politique et de dire que la situation est sous contrôle. La sécurité parfaite peut exister, mais elle reste illusoire car elle doit faire des compromis afin d'avoir un environnement de travail utilisable, ce qui requiert de la liberté d'accès, tel que mentionné par Bruce Schneier dans ses articles (par exemple, celui-ci) et démontré avec ce diagramme :
Il y a des normes pour ça vous dites...tant mieux, c'est plus simple, moins de trouble en termes de formation et de passage de connaissances. Libre à vous, mais afin de mieux cerner les problématiques entourant ces compromis, il n'y a pas de mal à comprendre les enjeux en réalisant une politique de sécurité de A à Z
Tout d'abord, quelques questions :
- Qu'est-ce que les utilisateurs ont absolument besoin pour travailler?
- Qu'ont-il besoin pour garder un certain niveau de productivité (si on le veut bien)
- Qu'est-ce qui est seulement nuisible à la sécurité et dont personne n'a besoin?
- Qu'est-ce qu'on a à protéger comme effectifs?
- Quelle est l'importance de ces effectifs dans l'organisation ou l'entreprise? (faire une échelle pour être en mesure de quantifier/qualifier)
- Quantifier le risque de chacun des effectifs (ou voyez l'envers de la médaille, quelle est l'importance de ces effectifs, de façon négative ou positive, pour les autres joueurs gravitant autour de l'organisation/entreprise (concurrents, employés [mécontents/malicieux], pirates, criminels organisés))
- À qui imcombe la responsabilité et l'imputabilité de telles décisions?
Formation, éducation, procédures et politiques
Avec des politiques de sécurité de l'information, la direction d'une organisation réflète sa vision stratégique à long terme ainsi qu'une partie de sa culture et de son éthique. On parle ici de lignes directrices dictants les bonnes façons de faire, les bonnes pratiques, les comportements à éviter et qui pourraient être dommageables à l'image et à l'intégrité publique. On l'y définit clairement qui est responsable de quoi dans l'organisation et s'il y a des processus pouvant affecter l'image de l'organisation, des procédures mitigeant les risques et leurs impacts potentiels y sont mentionnées. Divers exemples de politiques : mots de passe, accès distant, transfert de fichiers, transaction et manipulation d'informations personnelles/confidentielles, attribution des droits d'accès, etc.
Il est clair que toute personne ayant accès à un réseau informatique a une quelconque responsabilité et des devoirs découlant de telles politiques. Généralement il n'y a pas de problèmes à faire comprendre les éléments organisationnels d'une politique, mais dès que ça devient technique, certains utilisateurs préféreront la facilité - feindre de ne pas comprendre ou ignorer. Si les utilisateurs en question savent qu'il n'y a pas de conséquences au bout de la ligne, ça ne les responsabilise aucunement et il s'en balançeront... Ça s'applique autant aux procédures qu'aux politiques, il faut les imposer et appliquer les conséquences en fonction de l'importance que ça soit appliqué. Les procédures, qu'elles soient hyper-simplifiées, complexes, techniques ou longues, se doivent d'être justifiées, expliquées et que leur application soit suivie. Ça peut être par le biais de formation, de sensibilisation, de tests ou de démonstrations.
Un problème commun s'appliquant autant dans ce contexte que dans celui de parents élevant leurs enfants est qu'on se relance trop souvent la balle de la responsabilité et en fin de compte, l'impression externe est que personne ne s'en préoccupe. Encore une fois, il faut les imposer de manière stricte et définir explicitement qui décide quoi et comment l'appliquer.
L'identification des mauvaises habitudes généralisées est une forme de suivi qui peut donner de bons résultats et une forme de réponse appropriée serait une formation, une sensibilisation ou une démonstration. Bien sûr, il est possible d'utiliser des considérations techniques pour imposer le changement, mais l'utilisateur lambda ne comprendra pas nécessairement plus...
Ce qui a de l'impact, c'est une démonstration où des utilisateurs sont invités à faire la différence : d'un côté, une mise en situation avec un utilisateur ne suivant pas les procédures et de l'autre, un utilisateur les suivant, et dans les 2 cas quelqu'un qui tente de profiter d'un manque de vigilance. S'ensuivent les conséquences reliées et on demande à l'audimat ce qu'ils en pensent et ont compris. Par exemple, une politique de mots de passe mal comprise et négligée et des utilisateurs se plaignant que c'est trop complexe d'avoir un mot de passe avec minimum 2 charsets et 8 caractères. Il a été demandé à une démonstration, après avoir accepté une entente de risque, du cracking live de mots de passe : demander aux participants de taper 2-3 mots de passe et de s'en souvenir car ils auront à les retaper dans 10 minutes. Passé ce délai, on part le cracking et on explique ce qui se passe à l'écran...il n'est pas rare d'arriver à un taux de 90%+ de mots de passe cassés, mais ce qui vaut le coup c'est de voir la réaction des participants et on réexplique la procédure et la politique en cette matière - résultats garantis. Il faut notamment penser à l'éthique des démontrations, histoire d'être clair et d'éviter tous problèmes.
Trop peu d'organisations imposent leurs règles et ne prennent pas le temps de les expliquer....oui peut-être y a t-il un fort roulement de personnel, mais ce n'est pas une raison valide...les démonstrations peuvent être enregistrées en vidéo et disponibles sur l'Intranet, plus de capsules diffusées (un Intranet ne sert pas qu'à diffuser des nouvelles intéressant 5% de l'organisation ou diffuser les dates de fête...). Aussi bien intégrer le tout dans la culture de l'organisation et l'atmosphère du travail!