Blog ENI : Toute la veille numérique !
-25€ dès 75€ sur les livres en ligne, vidéos... avec le code FUSEE25. J'en profite !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici

La sensibilisation à la sécurité dans l’entreprise

Objectif

L’objectif de cette démarche est de rendre les utilisateurs des équipements informatiques (serveurs, postes de travail...) plus responsables dans le cadre de l’utilisation de l’outil informatique, de les former aux pratiques correctes dans l’objectif de changer leurs comportements vers plus de sécurité.

La sensibilisation à la sécurité fait partie des chapitres de la norme ISO 27001 (clause 7.3) dans le cadre de la gestion du système d’information.

Le principe général de cette approche consiste à préciser que la sécurité est l’affaire de tous dans une entreprise. Une bonne politique doit être comprise et appliquée par tout le personnel. La plus grande partie des brèches de sécurité sont le fait d’ignorance ou d’intention frauduleuse (vol de données, mauvaise usage des outils informatiques consciente ou inconsciente).

La stratégie consiste en deux points principaux : la formation et l’éducation. Ils ont pour objectifs :

  • d’améliorer le comportement des personnels sur les postes de travail ;

  • de développer la responsabilité des utilisateurs en relation avec les matériels et logiciels mis à leur disposition ;

  • de réduire les erreurs et omissions.

Le comportement

Leur attitude est prépondérante dans la sécurité des systèmes informatiques et pour les ressources qui traitent des informations.

D’après les statistiques, il s’avère que les menaces internes sont plus importantes que celles qui viennent de l’extérieur de l’entreprise (cf. chapitre Généralités sur la sécurité informatique).

Les interventions humaines prennent une plus grande part dans les pertes relatives au système d’information que les autres sources, toutes menaces confondues.

Les causes les plus importantes de pertes causées par les employés dans le cadre de leurs fonctions peuvent provenir d’erreurs et omissions, de fraudes, d’actions de personnels insatisfaits.

Les fraudes et activités non autorisées provenant d’employés mécontents peuvent ainsi être réduites en augmentant la connaissance des employés en ce qui concerne les accès et les pénalités associées aux actes malveillants. Naturellement, les bons exemples doivent être donnés par les responsables à tous niveaux de l’entreprise.

Le renforcement de la politique de sécurité est un des problèmes critiques qui doit être implémenté et renforcé à l’aide de programmes de formation....

La sensibilisation

Son objectif consiste à stimuler et à motiver les utilisateurs vers les bonnes pratiques qu’il s’agit de leur rappeler périodiquement. La répétition de ces conseils peut leur permettre de prendre en compte sérieusement la sécurité dans leur environnement de travail.

Les règles édictées peuvent prendre plusieurs formes selon les personnels à qui elles s’adressent. Cette approche doit être adaptée au public concerné (tous niveaux de responsabilités, administrateurs techniques, développeurs...).

Parmi les conseils de base à donner aux utilisateurs, les idées suivantes peuvent  être proposées :

  • Lors de la réception de messages (e-mail), se méfier de tout ce qui incite à donner des informations confidentielles. Cela peut être des renseignements personnels (code de carte de crédit, données bancaires...) ou professionnels (environnement de travail...).

  • Il est recommandé de vérifier la provenance de tout lien (http ou e-mail) intégré dans un message. Se méfier aussi des pièces jointes. En cas de doute, la meilleure solution est de supprimer ce message et d’avertir l’administrateur ou le responsable informatique.

  • Ne pas modifier ou supprimer les outils de sécurité installés...

La charte de bonne conduite

En plus de présentation au personnel, la sensibilisation débute généralement par l’acceptation d’une charte. Les responsables de l’informatique d’une entreprise, pour garantir la protection du système d’information par rapport à leur personnel interne, peuvent être amenés à présenter un document qui servira d’accord sur les principes de bonne utilisation de l’outil informatique. Ce qui implique que les utilisateurs aient lu et compris les recommandations sur la sécurité informatique.

La mise en place d’une telle charte permet d’assurer la protection du système d’information et s’applique à tous les utilisateurs. Il résume les droits et devoirs des utilisateurs du système d’information de l’entreprise. Ce document pourra être disponible sur le ou les sites de l’entreprise et sous plusieurs formes :

  • Intégré au règlement intérieur.

  • Note interne mise à disposition pour les employés ou présentée à toute personne d’entreprise sous-traitante.

  • Sous forme papier ou envoyé sous forme électronique aux utilisateurs (nécessité de rappel), accessible à partir du serveur web interne de l’entreprise ou de l’intranet.

Par son contenu...