L’humain au centre de la sécurité informatique
Avec le reconfinement, les entreprises et organisations doivent repenser la stratégie en matière de sécurité informatique.
Cela est nécessaire dans la mesure où, grâce au premier confinement nous avons pu observer que de véritables défaillances qui existaient quand à la gestion de la cybersécurité dans son ensemble. Dans cette condition le club des professionnels de la sécurité informatique, le Clusif (club de la sécurité informatique français) continue de prodiguer des recommandations et des astuces dans le but d’aider les entités à se préparer. Car le véritable défi demeure toujours.
Cet article va aussi vous intéresser : La pandémie à coronavirus et les stratégies de sécurité dans une entreprise
Le club de la sécurité de l’information français tient à aborder la « dimension humaine majeure » de la sécurité informatique, surtout au niveau du travail à distance qui est devenu standard voir une obligation dans certaines conditions professionnelles. C’est d’ailleurs pour cette raison que le Clusif interpelle les responsables l’institution et d’entreprise, à ne pas négliger la « surcharge mentale » de leurs collaborateurs.
Avec plusieurs influences, que ce soit le règlement général de la protection des données, les scandales sur l’espionnage Edward Snowden, la cybersécurité se présentent comme un aspect très important aujourd’hui pour toutes les organisations. Cependant, si à chaque fois que l’on aborde la question, on fait référence qu’à des aspects techniques et de la chose, il ne faudrait pas négliger pour autant le bien-être de personnes impliquées. Dans un document récemment publié portant le titre de « Télétravail cybersécurité et collaborateurs : les nouveaux équilibres », le groupe de travail à l’origine de l’étude a expliqué s’être « volontairement concentré sur les aspects humains du télétravail et les nouveaux usages du numérique, en lien avec la cybersécurité », à rebours de ces « nombreuses publications [qui] ont fleuri, formulant des recommandations techniques pour renforcer la sécurité de l’outillage numérique ».
« Une publication (malheureusement) de saison qui remet l’humain au centre de la question », comme le présente bien sur Twitter le responsable du groupe de travail, Pierre Raufast.
« Le reconfinement renforce cette certitude : le bien-être et la sécurité des collaborateurs ne se décrètent pas, ils se construisent », explique à son tour Rayna Stamboliyska, un membre du groupe de travail. La « conviction partagée » des spécialistes qui ont travaillé sur la question abordé dans le document est en effet que dans ce nouveau contexte de télétravail, à cause du confinement, « plus que jamais, le collaborateur est l’acteur principal de la sécurité », car il faut le noter : « Les personnes stressées sont plus vulnérables au social engineering » selon le Clusif. En effet, le responsable de sécurité de système d’information (RSSI) « est avant tout un gestionnaire du risque numérique », qui doit remplir 2 missions majeures qui comportent en partie une « dimension humaine majeure ». D’une part, il doit pouvoir se concentrer sur l’aspect technique et opérationnel de la sécurité informatique de son organisation. D’autre part, il doit s’assurer que ses collaborateurs sont suffisamment dans une situation de bien-être pour être en mesure de travailler efficacement. Il doit de ce fait s’enquérir du « bien-être des collaborateurs et des risques psychosociaux qui les rendent plus vulnérables ».
« L’absence de communication et de contact « physique » peut être anxiogène », précise le rapport : « le changement de lieu et de rythme comme la charge mentale peuvent conduire à une augmentation du stress, à une situation d’épuisement et mener au burnout ». Cependant, « les personnes fatiguées, inquiètes, stressées sont des cibles plus vulnérables pour le social engineering », alors que le nombre d’attaques informatiques à augmenter dans un contexte où le travail à distance entre pouvais « entraîner une surcharge mentale et aggraver la vulnérabilité des salariés » note le rapport.
Par ailleurs, « l’employé ne doit pas être considéré comme « la menace interne », mais plutôt comme un maillon essentiel de la sécurité. ». Le Club pour la sécurité de l’information français n’en relève pas moins que, en regardant un peu plus loin que l’aspect formel de la sécurité informatique, « la complexité des solutions et l’incompréhension ambiante autour des nouvelles technologies rendent les personnes plus vulnérables aux fake news ». Une situation qui est susceptible à de « générer une atteinte à la réputation de l’entreprise. ».
Par conséquent, les responsables doivent être « attentifs à la surcharge mentale, au stress ou à la détresse de leurs employés ». Suite à une enquête menée auprès des responsables des ressources humaines, il a été constaté une réelle absence « d’accompagnement psychologique pendant le confinement et depuis sa sortie ». Or cela doit être absolument.
Accédez maintenant à un nombre illimité de mot de passe :