Question :
« Au sein de votre agence de communication de crise, vos spécialistes de la gestion de crise constatent-ils qu’en matière de sécurité informatique : trop souvent, on néglige le rôle des employés? »
Réponse :
La principale erreur des entreprises en matière de sécurité informatique est de négliger la sensibilisation des employés aux aléas inhérents à l’utilisation des ordinateurs, des smartphones ou tablettes en tout genre. La tendance au BYOD, abréviation de l’anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels » ou AVEC pour « apportez votre équipement personnel de communication » a renforcé la nécessité de cette sensibilisation. Cette lacune diminue l’impact des mesures visant à protéger les systèmes d’informations contre les problèmes externes et laisse surtout le champ libre aux fauteurs de troubles à l’interne, toujours à l’origine de la majorité des malversations rencontrées par les organisations.
Le service sur mesure offert par les entreprises de gestion de crise doit davantage s’intéresser à la dimension des ressources humaines des programmes de sécurité informatique. Chez LaFrenchCom, nous avons fait un constat : une partie de la sensibilisation est trop souvent délaissée par les formateurs spécialisés. On n’explique pas assez aux gens la valeur de l’information. Voilà pourquoi dans le cadre de notre dispositif d’accompagnement, nous proposons à nos clients des conseils de communication interne visant à permettre aux collaborateurs de s’approprier l’importance de la valeur de l’information qui circule dans l’entreprise.
Outre la sécurité physique, assurée par des alarmes, des serrures efficaces biométriques, … et au besoin des systèmes de surveillance par caméra, les directions informatiques nécessitent un système de sécurité logique globale permettant de faire face au risque de fuite de données. Il n’est aujourd’hui plus nécessaire de défoncer un local pour s’emparer de données stratégiques pour une entreprise à des fins de concurrence, d’intelligence économique ou de malveillance.
Les contrôles d’accès à l’information ne seront par contre d’aucune utilité si les employés sont peu conscients de la valeur des informations traitées et se servent de leur mot de passe comme d’une clef qu’on peut passer à n’importe qui. Plusieurs grandes entreprises laissent leurs employés utiliser leur nom comme code d’accès par exemple.
Il est absurde de dépenser, par exemple, 100 000 euros pour un logiciel de contrôle d’accès et seulement 5 000 euros pour le faire comprendre aux employés.
En fait, bien des employeurs nous disent craindre qu’en insistant trop sur le caractère précieux et sur la valeur que représentent les données emmagasinées, ils risquent en réalité… de mettre la puce à l’oreille des employés moins scrupuleux. C’est une véritable erreur d’analyse stratégique.
Une intervention type d’une agence de gestion de crise dans une grande entreprise comporte deux étapes : l’évaluation des besoins et l’élaboration d’un programme de sensibilisation sur mesure. Le processus implique aussi des sessions d’information qui s’adressent plus particulièrement à la direction générale et au personnel informatique.
Après avoir effectué une analyse du risque (souvent matérialisée dans une cartographie des risques), on consacre quelques heures à définir les besoins et le cadre théorique de la formation. La connaissance des attitudes des employés face à la sécurité informatique est facilitée par l’administration de questionnaires appropriés.
Une période sert ensuite à développer le contenu des sessions d’information et à rédiger un code de conduite à l’intention des employés.
Comment se mettre à l’abri des désastres informatiques ?
Pour limiter le temps d’intervention de l’entreprise, le personnel cadre est lui-même formé pour faire suivre les sessions d’information à l’ensemble des employés. On procède alors à des rencontres d’environ une heure et demie avec des groupes de 12 à 15 personnes.
Le programme peut s’adapter à des petites entreprises et est défrayé dans ce cas sur la base du taux horaire des consultants.
Si les problèmes courants concernent l’accès aux données pendant que le système fonctionne, les pertes peuvent être tout aussi dramatiques sinon plus lorsque l’équipement est mis hors circuit par un désastre quelconque.
Un consultant en gestion de crise, habitué des crises informatiques, mentionne ainsi l’exemple de l’explosion d’un transformateur qui a privé d’électricité récemment pendant deux jours, trois tours de centre-ville d’une grande ville.
Il y a des solutions à ces problèmes. Il faut toutefois avoir mis en place au préalable les mécanismes de protection adéquats de prévention des risques dans le cadre de l’anticipation des crises.
On avait ici prévu à l’interne un plan de relève.
Après une analyse détaillée de l’impact possible d’une catastrophe, on s’efforce de préciser les besoins de relève, immédiats le premier jour ou étalés sur deux, trois ou plusieurs journées. En fonction de l’objectif, on développe ensuite un plan de relève pour les opérations critiques. En dernier lieu, le test et l’évaluation des choix stratégiques sont soumis à une situation théorique et réévalués s’il y a lieu.
Il n’y a malheureusement pas de moyens à toute épreuve contre les virus par exemple. On est capable de se protéger contre ceux qu’on connaît.