La sécurité de l’information est une chose trop sérieuse pour être confiée à  des informaticiens

Résumé : une étude récente montre la dangerosité croissante des réseaux sociaux en termes de fuite d’information en se basant le l’étude du comportement d’un panel représentatif. Une conclusion un peu trop hative : elle ne fait que prouver que la sécurité de l’information n’est pas qu’une affaire de technologie mais d’usages, de comportements, une dimension que les directions informatiques ont du mal d’appréhender car ayant une vision technologie du problème et des solutions. Preuve à  l’appui : il semblerait que les informaticiens aient le comportements les moins responsables, peut être justement parce qu’ils sont habitués à  sécuriser des outils sans s’intéresser aux comportements.

Je suis récemment tombé sur une étude a propos de la dangerosité de certains outils au regard des risques de fuite d’information. On y apprend d’abord que l’email est le champion numéro un des fuites (mais est-ce une surprise ?) et que les réseaux sociaux progressent à  vitesse grand V dans ce classement ce qui n’a rien de surprenant puisque l’utilisation de ces mêmes outils est elle même en hausse.

Lorsqu’on m’interroge sur la question ma réponse est invariablement la même : l’outil, quel qu’il soit, n’est pas dangereux. C’est son utilisation qui peut l’être. En version un peu plus imagée pour ceux qui ne comprennent le message la première fois : « un irresponsable est dangereux avec n’importe quel outil de communication, même un pigeon voyageur ». Et le meilleur moyen pour lutter contre l’irresponsabilité n’est pas dans l’interdiction mais l’éducation. En effet lorsqu’on on interdit sans éduquer (ou au lieu d’éduquer) on fait du contournement de l’interdiction un sport national avec des conséquences pires que la situation de départ.

Et ça n’est pas cette étude qui va me faire changer d’avis, bien au contraire. Le test mené pour arriver à  ces conclusions est très intéressant :

Le test réalisé a consisté à  soumettre une « friend request » à  plus de 2000 utilisateurs (toutes professions confondues) de réseaux sociaux, puis de déterminer ensuite le type de détails révélés par les usagers. Le résultat est surprenant puisqu’il révèle que 86% des usagers ayant accepté la demande de l’amie « test » (une femme, donc) travaillent dans l’industrie informatique, dont 31% plus particulièrement dans la sécurité informatique. Raison invoquée pour accepter la demande : « le joli visage » de l’amie test pour 53% des personnes interrogées. Après une demi-heure de test, 10% des utilisateurs ayant accepté cette demande communiqueraient des informations personnelles comme leur adresse et numéro de téléphone. Deux heures plus tard, 73% d’entre eux commenceraient à  révéler des information de nature confidentielle : sur leur lieu de travail, la stratégie d’entreprise, ou encore sur des logiciels ou produits technologiques encore non commercialisés. [Détails ici]

Plusieurs points sont à  relever :

– des personnes acceptent une demande de mise en relation d’une inconnue. On en revient à  mon postulat de départ. C’est l’individu et sa sensibilisation au sujet qui sont en cause et pas la nature de l’outil. Deux alternatives sont à  explorer ici. Soit ils feraient exactement la même chose s’ils tombaient sur la même jolie jeune femme au bar du coin en sortant du travail et c’est tout un programme d’éducation qui est à  penser au niveau de l’entreprise. Soit c’est le fait qu’ils soient en ligne qui leur fait perdre le sens commun et il faut simplement leur faire comprendre que les mêmes règles s’appliquent sur le web que dans la vie : on se suit pas un inconnu !.

Ajoutons sur le sujet qu’on a trouvé pire le que les réseaux sociaux : repas de famille, soirées entre amis etc… sont historiquement des sources de fuites beaucoup plus efficaces que des rréseaux sociaux. Je ne parle même pas des discusssions dans les trains, des personnes dont on peut lire l’écran de leur portable à  condition d’être assis pas trop loin etc…

– les informaticiens sont encore plus « dangereux » que les autres : effectivement car ils pensent technologie et pas usages et n’envisagent par conséquent le risque ou la suppression de celui ci que par des mesures techniques. Un outil totalement sécurisé techniquement est une véritable passoire si on l’utilise mal. Des non informaticiens qui perçoivent le risque par rapport à  la relation et non par rapport à  l’outil sont peut être plus méfiants.

Conclusion : ce qui touche à  la sécurité de l’information n’est pas qu’une histoire de technologie et les informaticiens ne sont pas les mieux placés pour appréhender la question dans son ensemble. La sécurité est une affaire de technologie et de comportements, cette seconde dimension ne pouvant être adressée que par le biais de campagnes adhoc.

Un exemple pour conclure : vaut il mieux un salarié averti des dangers qui va sur Facebook qu’un salarié non averti, à  qui on bloque l’accès depuis son bureau mais qui y va depuis chez lui ou son mobile ? Le second est rendu inoffensif dans les murs de l’entreprises mais tant qu’il n’est pas éduqué il reste dangereux dès qu’il utilise un autre terminal.

Bien sur…il est plus facile d’appuyer sur le bouton « off » que de mettre en place un programme de sensibilisation à  grande échelle. Mais ça ne résout finalement pas grand chose.

.

Bertrand DUPERRINhttps://www.duperrin.com
Head of Employee and Client Experience @Emakina / Ex Directeur Consulting / Au croisement de l'humain, de la technologie et du business / Conférencier / Voyageur compulsif.

Derniers articles

Vous avez aimé ce billet ? Suivez moi sur les réseaux sociaux :