La "société de l'information" est une expression qui a du sens pour l'Union Européenne. Sa sécurité aussi. C'est le rôle de l'ENISA, European Network and Infomation Security Agency, qui a récemment édité un nouveau guide : "Comment mieux sensibiliser à la sécurité de l'information".
Vaste sujet s'il en est, le guide présente un éventail complet de cette problématique : évaluation et mise au point des objectifs, élaboration du programme de sensibilisation, appréciation des résultats et ajustements si nécessaire.
Des questions techniques ? Inutile de chercher la réponse dans le guide de l'Union Européenne. Là n'est pas le sujet. L'objectif est une simple information de l'utilisateur, dont l'ignorance est souvent à la base même des problèmes de sécurité liés aux nouvelles technologies.
Ce guide vise en priorité les particuliers mais aussi et surtout les petites et moyennnes entreprises (moins de 250 salariés). Première pierre de l'édifice de la sécurité de l'information : identifier ses acteurs. Le but ? Ne pas ennuyer certains avec des détails déjà trop avancés pour d'autres !
Des conseils pour la plupart presque évidents mais qui ont au moins le mérite d'exister. Bien sûr, selon les auteurs du guide, la phase de préparation est celle qui requiert le plus d'attention.
Une fois les groupes d'utilisateurs identifiés, les responsables du projet devront définir les objectifs du plan de sensibilisation, les moyens de communication mis en oeuvre pour atteindre ces objectifs et, pour la phase finale, préparer les outils d'évaluation du succès du programme.
Le chemin vers la sécurité totale est une course semée d'embuches : trop d'informations ou une information mal adaptée, des explications floues ou pas suffisamment "vulgarisées" pour un public non initié seront autant d'obstacles par-dessus lesquels les responsables du projet devront passer pour espérer franchir la ligne d'arrivée.
L'utilisateur doit comprendre l'utilité de ses efforts
Dans les entreprises plus qu'ailleurs, les responsables de la sécurité sont en terrain miné. Il est donc important d'avancer prudemment. Mais pas trop, selon le guide. Plus "l'éducation de l'utilisateur" à la sécurité attend, plus dure sera la tâche : avant de lui inculquer les bonnes pratiques, il faudra d'abord lui faire perdre ses mauvaises habitudes !
Autre obstacle et non des moindres, le sempiternel "la sécurité est le problème de la DSI, pas le mien !" Et bien, quitte à décevoir certains, c'est faux. Une part non négligeable des problèmes de sécurité dans le système d'information des entreprises est due à l'ignorance des utilisateurs en la matière.
Certes, pas toujours évident de les convaincre. Mais la tâche sera aisée si l'équipe de direction est convaincue elle-même, ce qui est loin d'être toujours le cas. Pour que le programme de sensibilisation à la sécurité soit efficace, la direction doit nécessairement soutenir le projet, sans quoi les actions entreprises n'auront que peu d'effets.
Dans tous les cas, les responsables du projet doivent garder à l'esprit que leurs interlocuteurs ne sont pas informaticiens. L'informatique n'est, pour eux, ni plus ni moins qu'un outil, aussi utile soit-il. Ils auront besoin de comprendre, grâce à une communication claire et sans détour, en quoi leurs efforts quotidiens amélioreront la sécurité de l'information de leur entreprise.
Source de l'article : JOURNAL DU NET
http://solutions.journaldunet.com/0608/060822-enisa-securite-information.shtml
Le rapport complet peut être téléchargé à l'adresse URL suivante :
Rapport détaillé