Salut Pascal,
Félicitation ;) pour ta prise de poste. Est-ce que tu peux m'en dire un peu plus sur le contexte? Je pourrais peut-être te proposer un retour d'expérience plus précis si tu le souhaites.
Sinon, voilà ce que je ferais de manière assez générale :
Après avoir fait un premier audit, j'établirai un plan avec 9 priorités sur le court , moyen et long terme (3 par période).
En inscrivant, tant des mesures techniques, pratique, organisationnel ou de gouvernance (tout dépend le niveau de maturité et organisationnel en fait).
Dans un premier lieu j'expliquerai le plan à ma direction, exposer les risques sans être alarmiste, proposer des solutions et les projets pour les atténuer ou les éliminer.
Après il faut un plan de communication (réunion plénière, s'appuyer sur les managers, utiliser les outils de diffusion(intranet, mailling liste, parler au gens aussi,etc..) ) et mettre en oeuvre le plan au fur et à mesure.
Quelques conseils en vrac :
- Être exemplaire, intègre et ne pas faire de clientélisme (la sécurité c'est transverse et plus on a de responsabilité plus on doit le comprendre).
- S'appuyer dans un premier temps sur un groupe pilote peut être une bonne stratégie et te permettra d'ajuster et de tester tes mesures (et cela te donnera des arguments pour les plus réfractaires(il y en a toujours))
- Il faut rassurer, être dans l'empathie, mais surtout rappeler que tu es là pour aider.
- Être à l'écoute de tes utilisateurs et les aider à trouver des solutions et mettre les mains si besoin (Il peut y avoir des problèmes nécessitant des ajustements, mais aussi de de la mauvaise volonté...)
- Responsabiliser : Il m'arrive sur certaine mesure de laisser de l'autonomie, par exemple nous avons des espaces sécurisés pour les données personnelles, l'utilisateur à la possibilité de ne pas les utiliser et de stocker sur son disque, par contre s’il perd ses données à cause d'une panne matérielle ou d'une fausse manip tant pis pour lui.
- Organiser des ateliers pour former, expliquer, donner des astuces (on l'a fait avec mon équipe pour 90% du personnel et on a eu de très bons retours).
Dans le plan ce que je mettrais à chaud :
- Les chartes informatiques : utilisateurs, fournisseurs, mais aussi administrateurs ;)
- Stratégie de mot de passe
- Suppression des comptes avec pouvoirs
- Renforcement des backups et des moyens de reprises sur les ressources critiques
- Filtrage des accès Internet
- Suppression des comptes généraux qui ne sont pas nécessaires...
- Commencer à bosser sur une PSSI
Je finirais par dire que la bienveillance c'est super (la mode bisounours des réseaux sociaux très peu pour moi désolé) mais attention à ne pas éclipser ton rôle et tes priorités. Un bon manager doit être transparent sur ses missions, pédagogues à l'écoute, mais doit garder le cap et porter les décisions difficiles (tout en restant le plus zen possible) vaste programme.
Je te souhaite en tout cas beaucoup de réussite, n'hésite pas au besoin.
A+