Le slogan « la sécurité c’est l’affaire de tous » n’est pas tout jeune. J’ai récemment entendu plusieurs responsables informatiques proclamer : la cybersécurité, c’est l’affaire de tous. Ils ont raison. Tout le monde doit se responsabiliser et contribuer à la cybersécurité. Mais les responsabilités dans ce domaines sont partagées entre trois niveaux : l’équipe de direction, l’équipe informatique et le reste des équipes.
En général, quand la responsable TI ou sécurité TI me dit « la cyber sécurité, c’est l’affaire de tous », la phrase suivante est « les différents secteurs ne prennent pas leurs responsabilités » ou encore « c’est à eux de faire le nécessaire ». Je vous explique en quoi consiste le partage de responsabilité. Je vais utiliser l’exemple de la sécurité des personnes, qui est gérée depuis de nombreuses années dans toutes les organisations. Enfin, vous trouverez des exemples concrets: mots de passe, hameçonnage et restriction des droits sur mon ordinateur.
La gouvernance de la santé-sécurité
Depuis environ 100 ans, les organisations doivent s’assurer que leurs équipes soient en santé. C’est en général une obligation légale. Les comités de direction mettent en place un service de santé et sécurité au travail. Ces personnes dirigent les analyses de risque, suivent et analysent les blessures et accidents du travail. Elles sont responsables du processus de gestion de risques. À partir de leurs analyses, elles décident quelles mesures protégeront le mieux. Elles rédigent des politiques et fournissent des moyens, tels que des équipements de protection individuels (EPI), pour assurer la sécurité.
Par contre, si elles fournissent les moyens, elles ne sont pas responsables de l’application des mesures. En effet, c’est à chacun et chacune de se responsabiliser et de porter ses EPI. L’équipe de santé et sécurité ne peut pas être derrière chaque personne et vérifier du respect des mesures. D’où le fameux slogan: la sécurité, c’est l’affaire de tous !
Les gestionnaires de première ligne ont une part de responsabilité, pour expliquer les mesures, créer le sens et rappeler les consignes si nécessaire. Les ressources humaines ont souvent des politiques pour appuyer les gestionnaires quand certaines personnes refusent d’appliquer les mesures de sécurité.
Mais au final, c’est chacun et chacune qui doit s’assurer de porter ses EPI, respecter les mesures de sécurité en vigueur et les rappeler aux collègues qui ont oublié de remettre leur casque après la pause.
La gouvernance de la cybersécurité
Le partage des responsabilités entre comité de direction et service informatique
C’est exactement la même chose pour la cybersécurité. Si c’est bien l’affaire de tous, c’est le comité de direction qui a le leadership et donne les moyens au service informatique (ou sécurité de l’information). Ce dernier mène les analyses de risque, détermine les mesures requises pour protéger l’organisation. Il trouve et implante les solutions technologiques et écrit les politiques. Le comité de direction les approuve et fait le suivi du registre de risques de sécurité informatique. Exactement au même titre qu’il suit les risques financiers, opérationnels et bien sûr la santé-sécurité.
Sensibilisation et formation au cyberrisque
La cybersécurité assure la sécurité des données et systèmes. C’est beaucoup moins tangible. Aujourd’hui, tout le monde comprend que se prendre un objet lourd sur le pied peut le casser et que le bruit peut endommager l’audition à long terme. Les équipes de santé et sécurité ont fait de l’éducation au risque.
Les risques de cybersécurité sont beaucoup plus difficiles à appréhender pour les équipes, car leur impact est indirect et immatériel. Par exemple, écrire mon mot de passe sur un post-it ou l’envoyer par courriel à un collègue ne semble pas avoir un impact aussi important que d’utiliser une tronçonneuse sans gants.
L’équipe de sécurité informatique a donc un travail d’éducation important à faire. Elle doit être force de proposition, à l’écoute des besoins organisationnels. Son expertise est de mettre en perspective l’environnement de risque avec la réalité de leur organisation et de chaque secteur. Comme en santé-sécurité, les mesures ne s’appliquent pas aveuglément à tous, elles sont déclinées selon les risques de chaque secteur. Les personnes qui voyagent avec leur ordinateur portable à l’étranger n’ont pas le même profil de risque que celles qui utilisent un terminal partagé dans les locaux de l’organisation. C’est l’affaire de tous, mais pas de la même manière.
La sécurité informatique doit surtout faire comprendre à tout le monde pourquoi la cybersécurité est importante pour l’organisation. Il existe de nombreux programmes de sensibilisation. Mais aujourd’hui, je pense qu’il faut de la formation, car les risques sont trop importants. Ils peuvent différer d’un secteur à l’autre. Une approche uniforme ne donnera pas les meilleurs résultats.
Trois responsabilités qui se complètent
De son côté, la sécurité informatique doit s’assurer qu’elle comprend bien la valeur délivrée par l’organisation. Elle doit tout mettre en œuvre pour soutenir la création de la valeur. À minima, elle ne doit pas entraver le fonctionnement et augmenter les contraintes de façon inutile.
D’un autre côté, le reste de l’organisation aura toujours tendance à se reposer sur les spécialistes… « Je n’ai pas besoin d’y penser, nous avons une équipe qui s’en occupe ». C’est vrai, mais c’est une équipe de soutien, qui facilite. Les équipes opérationnelles doivent prendre en charge un certain nombre d’actions, en particulier le respect des politiques.
La coopération est la clé pour que l’organisation soit protégée. C’est à l’équipe de direction que reviennent le leadership et la diffusion des messages clés, pour assurer la bonne coopération et surtout l’alignement stratégique.
Comment expliquer que la cybersécurité, c’est l’affaire de tous ?
Je vous propose un plan d’action en 8 étapes pour que la responsabilité soit mieux partagée.
- Comprenez la chaine de valeur de votre organisation
- Identifiez vos opérations et données critiques
- Faites une analyse de risques avec les équipes opérationnelles
- Définissez les actions à prendre pour réduire les risques jugés inacceptables
- Mettez en place les moyens technologiques et les processus nécessaires
- Formez les équipes à la sécurité : qu’est-ce que nous protégeons (point 2), pourquoi (point 1) et comment (point 5)
- Vérifiez que tous adoptent les comportements attendus
- Au besoin, continuer les efforts de création de sens et de formation
Des métaphores pour expliquer les cyberrisques
Les équipes de sécurité TI sont parfois un peu éloignées de la réalité du terrain. Elles oublient que pour beaucoup de leurs collègues, la technologie reste un univers complexe et inconnu. Je vous donne quelques exemples de métaphores de la vie courante pour aider les équipes à comprendre.
Mots de passe et autres moyens d’authentification
Quand nous vous attribuons l’accès à des données et des systèmes, avec un identifiant, un mot de passe et une authentification forte, c’est comme si l’on vous donnait les clés de l’entreprise, vous devez traiter ces derniers comme les clés de votre maison ou de votre voiture.
Si l’on vous les demande, vous ne les donnez pas. Si vous recevez des demandes répétées, informez le service informatique. Tout comme vous informeriez la police si un individu vous réclamait les clés de votre maison, quelle que soit la raison invoquée.
Uber a été victime d’une attaque de ce genre en septembre 2022, avec un pirate se faisant passer pour un membre de l’équipe de sécurité et demandant d’accepter l’authentification forte.
Les crimes numériques : hameçonnage et ingénierie sociale
Le crime a toujours existé, mais aujourd’hui, il a changé de forme. Il n’y a pas si longtemps, nous prenions des précautions de base quand quelqu’un frappait à la porte ou que nous recevions un courrier ou un message sur le répondeur. Nous savions que ces voyages gagnés n’étaient qu’un moyen d’obtenir quelque chose d’autre. Nous empêchions les vendeurs itinérants ou chargées de sondage de regarder dans la maison, de crainte qu’ils ou elles n’évaluent la valeur de nos biens et le potentiel d’un cambriolage.
Aujourd’hui, les cybercriminels cherchent à obtenir un accès au système (la maison), par différents moyens, tels que l’hameçonnage ou l’ingénierie sociale. Nous devons tous protéger l’accès à nos systèmes et données.
Restriction des droits sur mon ordinateur
Vous vous plaignez de ne rien pouvoir installer sur votre machine. Mais dans les usines, personne ne peut modifier un équipement industriel sans demander l’autorisation. La sécurité et le signalement des problèmes sont l’affaire de tous, mis les corrections et décisions sont limitées au service de la maintenance.
Même si ce n’est pas immédiat, les demandes sont acceptées, pour faciliter le travail. Mais ce sont des spécialistes qui s’assurent que la modification est sécuritaire. Ils ont une vue d’ensemble et des connaissances sur le fonctionnement des machines que les équipes de terrain n’ont pas.
Si la modification proposée est impossible, ils peuvent proposer d’autres solutions pour faciliter le travail de chacun.