Une politique de sécurité strictement définie est-elle synonyme de meilleure sécurité ? Malheureusement, non. Car trop de contrainte, tue la contrainte et incite au contournement...
Une politique de sécurité strictement définie est-elle synonyme de meilleure sécurité ? Malheureusement, non. Pourquoi ? Parce que les collaborateurs ne la respecteront pas. En effet, lorsque les règles de sécurité entravent l’activité au quotidien, les employés sont tentés de les contourner plutôt que s’y conformer. Par ailleurs, une politique de sécurité trop stricte nécessite un important dispositif de maintenance. Voici quelques-unes des incongruités auxquelles j’ai déjà eu l’occasion d’être confronté.
- Seuls les documents portant la mention “public” peuvent être partagés.
- La politique de sécurité décrit à la lettre à quel stade devrait être chaque configuration sur chaque serveur.
- Ne laissez jamais, même quelques secondes, votre ordinateur portable sans surveillance en dehors des locaux de l’entreprise.
- N’écrivez pas vos mots de passe. Il est essentiel de choisir des mots de passe compliqués et de les changer fréquemment.
Très souvent, ces règles trop contraignantes ne seront pas respectées par les employés qui préfèreront agir selon leurs propres jugements. Or, c’est dans ces conditions qu’il existe un véritable risque qu’ils agissent en contradiction avec les intérêts de l’entreprise. Ils peuvent, par exemple, désactiver certaines options de sécurité sur leurs ordinateurs. Même si les règles de sécurité peuvent s’avérer parfois très utiles, leurs excès les rendent absurdes.De meilleurs résultats sont obtenus lorsque l’ensemble des règles de sécurité est clair et compréhensif. Ces règles doivent supporter, et non pas entraver, la performance des taches quotidiennes. Les employés doivent comprendre les tenants et aboutissants de ces règles. Il est important qu’une relation de confiance existe entre les employés et la direction.Une autre erreur souvent commise par les entreprises dans ce domaine. Les règles de sécurité sont élaborées par les services informatiques qui ne prennent pas en compte les besoins et processus spécifiques de l’ensemble de l’entreprise. Lorsque de telles règles sont développées, chaque service de l’entreprise devrait être interrogé. En agissant ainsi, les personnes dont le travail est directement concerné par les règles de sécurité peuvent émettre leurs opinions et il est possible d’éviter une situation où ces règles bloqueraient la croissance de l’activité.On voit parfois les règles des ressources humaines mélangées avec celles de la sécurité informatique. Cela peut arriver, par exemple, lorsque les médias sociaux tels que Youtube ou Facebook sont interdits pour des raisons de sécurité informatique. Or, les employés n’apprécient pas que leur liberté d’échanger des informations soit entravée au nom de la sécurité informatique. D’ailleurs, le fait est que les médias sociaux ne constituent pas une menace sérieuse si la sécurité informatique et les équipements de l’entreprise sont parfaitement à jour. Ces mêmes restrictions seraient plus facilement acceptées et causeraient moins de mécontentement, si elles venaient directement du département des ressources humaines ou avait pour justification de lutter contre une perte de productivité.Reste l’épineux problème des mots de passe : l’idéal est de ne les partager avec personne. Cependant, il y a certaine situations dans lesquelles le service informatique a besoin de connaître le mot de passe d’un employé. Ces derniers devraient en être informés de manière très claire. Ainsi, les règles de sécurité n’engendrent pas de conflits internes mais se fondent, en souplesse, dans les activités de l’entreprise.Par ailleurs, il est plus sécurisant pour les sociétés que les employés choisissent un mot de passe élaboré et l’écrivent de manière à s’en rappeler plutôt que d’en choisir un simpliste qu’ils se contentent de se rappeler. Les entreprises devraient encourager leurs employés à utiliser des gestionnaires de mots de passe, tels que « password safes », qui peuvent supporter des centaines de mots de passe derrière une clé maîtresse. Un mot de passe inscrit sur un papier rangé dans un portefeuille n’est pas non plus le pire des scenarios. Par Joona Airamo, responsable du service des technologies de l’information chez Stonesoft
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE