Daniel Fages (Arkoon) : "On s'appuie trop sur l'utilisateur, en pensant qu'il aura la compétence requise"

	Daniel Fages (Arkoon)

Les employés premiers fautifs devant les pirates ?

Le mot fautif m'interpelle. Il est bien évident qu'un certain nombre d'incidents de sécurité sont imputables aux salariés. Plusieurs études ont prouvé que les risques viennent plus souvent de l'interne que de l'extérieur de l'entreprise. A mon sens, il s'agit avant tout de mauvaises utilisations de l'informatique plutôt que d'actes de malveillance.

Ces erreurs, plus que la volonté de détruire ou d'accéder à de l'information confidentielle, sont surtout imputables à la complexité des outils mis à disposition des employés, qui conduit à des maladresses et à l'introduction de failles de sécurité. Un exemple simple est celui des mots de passe. On s'aperçoit que dans de nombreux cas, les salariés, confrontés à la mémorisation d'une multitude de mots de passe pour se connecter au système d'information, recourent à des identifiants insuffisamment robustes ou les notent simplement sur des post-it.

Alors oui, les employés ont une part de responsabilité, mais les informaticiens au sens large du terme, en ont également une, c'est-à-dire de la production jusqu'aux éditeurs de solutions et constructeurs d'infrastructures. Si vous demandiez à chacun d'ôter et remettre sa batterie de voiture quotidiennement, tôt ou tard, une erreur serait commise en raison de la complexité - relative - de l'opération demandée. On s'appuie trop sur l'utilisateur, en pensant qu'il saura faire et aura le niveau de compétence requis. Il faut certes persévérer dans la formation, mais avec une approche simplifiée.

Quels sont les ajustements à entreprendre selon vous ?

C'est déjà une question d'interface. iPhone par exemple est très plébiscité car il présente une interface homme-machine intuitive. Il présente des axes à suivre. Aujourd'hui Windows a encore de gros efforts à faire pour être à portée de l'utilisateur lambda. Sur ce point, le minitel était sans doute une réussite.

La centralisation est aussi une étape importante, en réduisant l'intelligence au niveau du terminal. Au travers de ce mouvement, c'est également l'information qui est centralisée, et à travers cela la réduction des coûts de maintenance et du niveau de sécurité. Ne disposant que d'un client léger, le salarié est moins susceptible de commettre des erreurs.

L'entreprise repose alors sur quelques systèmes centralisés, bien surveillés par des gens dont c'est le métier. C'est d'ailleurs le sens de l'histoire, celui que prend le SaaS. Pour le CRM en mode hébergé, le risque de voir l'utilisateur disposer d'une réplication de la base de données client en local disparait, et le risque de sécurité est diminué.

Quelles solutions technologiques contribuent à cette simplification nécessaire pour traiter le risque interne ?

Hors malveillance, la simplification est indubitablement une bonne chose. En termes de solution, il s'agit notamment de SSO, Single-Sign-On et de la carte à puce. Mais au-delà des technologies, ce qui est important pour les entreprises, c'est d'avoir une politique de protection de l'information. Et c'est donc le travail du RSSI que de classifier les données et d'identifier les plus sensibles pour l'entreprise. Une fois la classification effectuée, il est alors possible de mettre en place une protection ciblée par chiffrement et contrôle d'accès.

On part souvent de tellement loin souvent dans les entreprises, où le chiffrement reste assez rare, qu'il est indispensable d'avoir une approche assez pragmatique : partir du plus urgent et identifier le critique, c'est-à-dire l'actif dont la compromission serait préjudiciable à l'entreprise.

Ce qui pousse beaucoup dans ce sens, à adopter une approche de protection de l'information quelle que soit la taille de la structure, c'est la mobilité. C'est une tendance qui ne peut pas négligée, mais qui parallèlement apporte forcément des risques qu'il faut traiter.

Un poste fixe sur un réseau interne ne sera certes pas immunisé à des attaques, mais il restera moins exposé qu'un ordinateur portable. Et c'est encore plus vrai pour les PDA et smartphones, qui peuvent facilement être perdus ou stocker des données sensibles. Nombre de VIP en entreprises reçoivent ainsi directement leurs mails, potentiellement des données sensibles, sur leur terminal grâce à des fonctionnalités de push-mail.