PascalW

Comment imposer une politique de sécurité informatique de façon positive?
il y a 6 ans par PascalW

Je dois mettre en œuvre un vrai politique de sécurité informatique dans une structure qui n'en a jamais eu et où le poste de DSI est visiblement à haut risque.

Depuis ma prise de poste, je me suis efforcé d'instaurer une certaine bienveillance envers les utilisateurs par contre la sécurité informatique est aujourd'hui critique.

Avez vous des idées ou des retour d'expérience à partager pour imposer des restrictions très stricts  en conservation le climat de bienveillance qui j'ai pu créer?

bienveillance conduite du changement sécurité informatique
6
6

8 réponses

Stephane31
il y a 6 ans par Stephane31

Salut Pascal,

Félicitation ;) pour ta prise de poste. Est-ce que tu peux m'en dire un peu plus sur le contexte? Je pourrais peut-être te proposer un retour d'expérience plus précis si tu le souhaites.

Sinon, voilà ce que je ferais de manière assez générale :

Après avoir fait un premier audit, j'établirai un plan avec 9 priorités sur le court , moyen et long terme (3 par période).

En inscrivant, tant des mesures techniques, pratique, organisationnel ou de gouvernance (tout dépend le niveau de maturité et organisationnel en fait).

Dans un premier lieu j'expliquerai le plan à ma direction, exposer les risques sans être alarmiste, proposer des solutions et les projets pour les atténuer ou les éliminer.

Après il faut un plan de communication (réunion plénière, s'appuyer sur les managers, utiliser les outils de diffusion(intranet, mailling liste, parler au gens aussi,etc..) )  et mettre en oeuvre le plan au fur et à mesure.

Quelques conseils en vrac :

  • Être exemplaire, intègre et ne pas faire de clientélisme (la sécurité c'est transverse et plus on a de responsabilité plus on doit le comprendre).
  • S'appuyer dans un premier temps sur un groupe pilote peut être une bonne stratégie et te permettra d'ajuster et de tester tes mesures (et cela te donnera des arguments pour les plus réfractaires(il y en a toujours))
  • Il faut rassurer, être dans l'empathie, mais surtout rappeler que tu es là pour aider.
  • Être à l'écoute de  tes utilisateurs et les aider à trouver des solutions et mettre les mains si besoin (Il peut y avoir des problèmes nécessitant des ajustements, mais aussi de de la mauvaise volonté...)
  • Responsabiliser : Il m'arrive sur certaine mesure de laisser de l'autonomie, par exemple nous avons des espaces sécurisés pour les données personnelles, l'utilisateur à la possibilité de ne pas les utiliser et de stocker sur son disque, par contre s’il perd ses données à cause d'une panne matérielle ou d'une fausse manip tant pis pour lui.
  • Organiser des ateliers pour former, expliquer, donner des astuces (on l'a fait avec mon équipe pour 90% du personnel et on a eu de très bons retours).

Dans le plan ce que je mettrais à chaud :

   - Les chartes informatiques : utilisateurs, fournisseurs, mais aussi administrateurs ;)

   - Stratégie de mot de passe

  - Suppression des comptes avec pouvoirs

 - Renforcement des backups et des moyens de reprises sur les ressources critiques

 - Filtrage des accès Internet

 - Suppression des comptes généraux qui ne sont pas nécessaires...

 - Commencer à bosser sur une PSSI

Je finirais par dire que la bienveillance c'est super  (la mode bisounours des réseaux sociaux très peu pour moi désolé) mais attention à ne pas éclipser ton rôle et tes priorités. Un bon manager doit être transparent sur ses missions, pédagogues à l'écoute,  mais doit garder le cap et porter les décisions difficiles (tout en restant le plus zen possible) vaste programme.

Je te souhaite en tout cas beaucoup de réussite, n'hésite pas au besoin.

A+

5
PascalW
il y a 6 ans par PascalW

Salut Stéphane,

Merci !
Tes suggestions vont de le sens de ce que j'avais à l'esprit (à part pour le filtrage des accès internet qui serait vécu comme une infantilisation  par la majorité du personnel, pour ne pas dire un casus belli)

Je te rassure ma bienveillance ne fait pas de moi un candide ni bobo new âge. J'ai toujours autant de caractère et je ne perds pas de vue ce que j'ai à faire. Je sais dire non quand cela s'impose. Je suis juste plus enclin à expliquer pour je refuse et je laisse la porte ouverte pour réévaluer la demande ultérieurement quand le contexte aura changé.

2
Stephane31
il y a 6 ans par Stephane31

Personnellement j'ai évolué sur le sujet du filtrage, surtout quand l'entreprise traite des informations sensibles. L'utilisation d'Internet pour des usages personnels était tolérée, quand  les moyens de connexions étaient plus rares, aujourd'hui ,ce n'est plus le cas, donc faire les soldes depuis son poste de travail... Par contre, que la politique de filtrage soit  active ou passive, il faut logguer et donc avoir une charte, et comme c'est une donnée personnelle mettre en place la RGPD...

Après je te l'accorde, il faut une courbe de progression, le big bang est rarement applicable ;) !

3
PascalW
il y a 6 ans par PascalW

Pour l'instant, mon envie est plus de logger pour mesurer l'ampleur des éventuels avis. Ma direction souhaite bloquer les sites porno! J'ai répondu que aujourd'hui faute d'interdiction explicite et tant que les collaborateurs sont majeurs, il n'y a pas de faute. On peut juste regretter qu'ils n'aient pas plus de boulot s'ils ont le temps de visiter ce genre de site. :-)

Nous sommes d'accord sur le fait que l'émergence des smartphones ne justifie plus une tolérance pour les usages privés. L'argument du RGPD est excellent aussi 

2
olivierChaillot
il y a 6 ans par olivierChaillot

Et si la sécurité informatique était un jeu ?

Pour avoir testé avec succès sur des enfants (et beaucoup de personnes dites "adultes" sont des grands enfants)

- A partir de l'obligation de changer son mot de passe tous les mois : organiser un "concours" doté d'un petit cadeau (valorisation qui peut être toute symbolique) à ceux qui découvrirons les mots de passe de leurs collègues (ne pas oublier d'en profiter d'organiser une information sur la constitution de mots de passe "fort"

- A partir de l'obligation de réaliser des sauvegardes : organiser un tirage au sort où l'heureuse gagnante (pas toujours les mecs quand même !) sera celui qui restaurera ses données en moins de XXX temps après avoir trouvé un poste informatique neuf sur son bureau en arrivant le matin ...

- A partir de la nécessité d'identifier les pourriels et autres joyeusetés reçues dans sa boite à courriel : un petit cadeau au premier qui signalera au DSI une réception douteuse ...

- A toi d'imaginer comment rendre le sujet ludique ... un façon de sensibiliser ... mais n'oublie pas qu'il faut aussi savoir manier le bâton ... une bonne réprimande est souvent nécessaire à titre d'exemple ...

5
PascalW
il y a 6 ans par PascalW

C'est une idée effectivement...

Je compte faire des petites démonstrations et diffuser des vidéo qui montre des piratages vitesse réelle. Pour l'instant je m'efforce de faire comprendre aux gens pourquoi il faut verrouiller sa session quand on quitte son bureau... Mais la gamification me semble une idée à creuser

2
olivierChaillot
il y a 6 ans par olivierChaillot

@PascalW, en français "on" parle de "ludique" et de ses dérivés ... le "game" c'est pour les rosbeef ... au rugby, "on" les aime saignant ... et mon grand père m'a toujours dit que s'ils étaient comme les autres ... le bondieu ne les auraient pas mis sur une isle ... moi, ce que j'en dis :)

2
PascalW
il y a 6 ans par PascalW

J'en prends bon note! Qui suis je pour ne pas écouter la sagesse des aïeux

1
Pjo
il y a 6 ans par Pjo

Bonjour, en attendant le bus... en vrac... 

imposer et positif ?

une charte pratique si faite par volontaires et qq réfractaires bien choisis ! 

Comme les pompiers : opération alerte aux virus 

avec temoignages d’entreprises qui ont failli y passer 

concours « les plusieurs gros risques en si »

bref ou en es tu de la sensibilisation et des comportements à risque ? 

Ah le bus arrive ! 

Bonbe journee 

3
Pjo
il y a 6 ans par Pjo

Trop drôle ! Bonne journée 

1
PascalW
il y a 6 ans par PascalW

Je reconnais le paradoxe mais que serait la vie sans un peu de fantaisie?

Je ne souhaite pas être trop brutal et autoritaire mais la situation est critique. Normalement j'aurai refusé la mission tant le risque est fort.  Sécurité et bienveillance ne devraient pas être antinomique...

2
JoyceMarkoll
il y a 6 ans par JoyceMarkoll

bonjour PascalW, tu as décroché un poste, bravo ! :)

Puisque tu as su créer le bon climat, peut-être pourrais-tu réunir les personnes, et leur mettre en mains les éléments en leur demandant de t'aider à créer les conditions de la sécurité, moyennant quoi tu leur transmettras des savoirs pouvant aussi être utiles chez eux (ex : la séparation des rôles admin/utilisateurs, diverses méthodes pour créer de bons mots de passe pouvant être retenus ou retrouvés facilement par associations d'idées etc.)

Et leur proposer d'échanger sur les problèmes qu'ils rencontrent, sur les stratégies qu'ils ont pu eux-même mettre en place pour leur propre compte, etc. (faire des tables rondes en somme ?)

Et que faire quand un système est compromis pour rétablir la situation… Donc, n'oublie pas que les utilisateurs en entreprise sont encore des utilisateurs une fois chez eux, et qu'ils ont souvent des besoins, voire même leurs propres ressources.

Qu'en penses-tu ?

3
PascalW
il y a 6 ans par PascalW

Merci !

Les politiques de sécurité sont souvent trop autoritaires, source de frustration et incitent à la recherche de contournement. La responsabilisation me semble préférable. Je suis vraiment dans la bienveillance et la dédramatisation avec les utilisateurs. Mon Leitmotiv est FAIL= First Attempt In Learning.

Tout le monde peut se tromper ou commettre des erreurs, les pannes arrivent, ce sont autant d'opportunité pour progresser eux et moi. C'est un discours inhabituel pour eux.

Proposer des éléments qui leur sera utile même en dehors du cadre pro me semble une piste intéressante. Je vais voir comment l'exploiter au mieux.
Ta lecture me donne aussi l'idée de communiquer sur le concept qu'un système d'information est un compromis entre la technique, le métier et l'humain. Je vais voir comment le décliner pour faire une campagne de communication.

Merci encore pour tes conseils

2
ChristopheFantoni
il y a 6 ans par ChristopheFantoni

J'ai cru lire plus haut une « infantilisation ». Le problème, c'est que, psychologiquement, tous les gens sont infantiles. D'ailleurs, pourquoi existerait-il des lois – les mêmes pour tous – si chacun de nous était capable de se responsabiliser par le simple fait du bon sens ? Personnellement, je vous inviterais plutôt à être « dur, mais juste » (un peu comme le sergent instructeur de l’armée). Par contre, ne faites surtout pas appel à l’intelligence des gens : elle est souvent absente. Ayez plutôt comme modèle l’État qui part du principe que nous sommes tous des escrocs (pour les impôts) ou des personnes plus coupables qu’innocentes (pour la justice pénale). En clair : les libertés doivent être gagnées par des actes, des faits concrets… et non être offertes sur un plateau d’argent. Pour finir, je vais me permettre de citer Jean Jacques Rousseau (1712-1778) qui disait : « il n’y a point de liberté sans lois » (et c'est aussi là un excellent sujet de philosophie ;)).

3
PascalW
il y a 6 ans par PascalW

Vous avez bien cru. Oui je parle d'infantilisation parce que les gens vive cela comme si la direction les considérait comme des irresponsables. Le fait que cela aussi un moyen de se protéger des erreurs et autres "fautes de click"  n'est jamais envisagé. Les gens commencent à beugler des la première menace surtout qu'aujourd'hui il n'existe (pas encore) de charte informatique. Je suis dans une structure où les leviers des sergents instructeurs ne fonctionnent pas. Imposer son autorité par la force implique que des sanctions existent et qu'elles seront appliquées. Si je demande à une secrétaire qui fait ses soldes en ligne de faire des pompes, je vais me faire enfermer en psychiatrie (et heureusement).
Par exemple, j'ai aussi appris que parler à l'intelligence des gens peut être parfois très violent et très mal vécu. C'est un moyen efficace et sournois de se livrer au harcèlement moral.

Ma philosophie est inspiré de St Exupéry: ce sont les devoirs qui créent les droits. C'est pour cela que je privilégie la responsabilisation sur l'autorité.

Une autre excellent sujet de philosophie pourrait être : Voltaire ou Rousseau sont ils en phase avec la société du XXIeme siècle?

3
ChristopheFantoni
il y a 6 ans par ChristopheFantoni

Le second problème, c'est que nous vivons aujourd'hui dans une société où les gens se prennent tous pour Superman ou Supergirl. Or, si nous raisonnons de manière terre-à-terre, nous avons plus en face de nous des Clark Kent et des Kara Danvers qui, sans leurs superpouvoirs, s’avèrent bien limitées dans leurs activités professionnelles. Malheureusement, la seule solution pour mettre à terre ces super héros de pacotille, c’est souvent de les gaver de kryptonite en jouant les Lex Luthor. Bref, d’être le méchant de service. Hitchcock disait d’ailleurs à ce sujet « meilleur est le méchant, meilleur sera le film ». Et bien dans la vraie vie, c’est exactement pareil. Il faut toujours un méchant de service pour que les autres puissent devenir meilleurs qu’ils ne sont en réalité. C’est le rôle du sergent instructeur, comme c’est celui du policier, ou encore celui du professeur. Et cela existe même dans certaines fonctions techniques. Il ne faut donc en pas en avoir peur. Bien au contraire.

3
PascalW
il y a 6 ans par PascalW

J'ai passé plus d'une vingtaine d'années à être dans la lutte de pourvoir et dans l'argument d'autorité.
Je suis fatigué de tout ça. Je me dis que c'est trop facile: j'impose et les autres n'ont rien dire: OK mais ma fonction est une fonction support. Je travaille au bénéfice des métiers de mon organisation. C'est pour cela que je cherche une autre voix (ou voie)  une sorte d'alternative Zen à la sécurité IT.
Les super héros ne m'inquiètent pas parce qu'ils n'ont finalement aucune prise sur moi.

Je trouve un peu triste que le modèle de la carotte et du bâton soit le seul viable sur un sujet aussi dimensionnant que la sécurité informatique.
Mais j'entends et je vous remercie de partager votre avis sur ma question.

1
tonyfrebault
il y a 6 ans par tonyfrebault

Chez Blue note systems, nous avons mis en place une charte de sécurité et de confidentialité et la mise en oeuvre de différents outils pour faciliter le respect de la charte (outil de gestion de mot de passe par exemple).

La mise en oeuvre d'outils et la réalisation de formations en complément de l'application d'une charte facilitent son adoption.

Après suivant le contexte les outils et méthodes peuvent être très différentes.

3
PascalW
il y a 6 ans par PascalW

Dans le plan que je vais proposer, effectivement, je compte accompagner la, ou les chartes (pour prendre en compte la réponse de @Stephane31 ), doit être accompagné de séances de sensibilisation avec une approche "Ethical Hacking".

J'aime bien l'idée de proposer un outils pour "compenser" une contrainte. Imposer de bonnes pratiques, c'est bien. Faciliter leurs usages , c'est mieux! ;-)

2
FredericLibaud
il y a 6 ans par FredericLibaud

Bonjour,

Le maillon faible étant l'humain, il est primordiale avant toute chose de travailler sur la sensibilisation des équipes. Et cela ne doit pas être fait qu'une fois... Si la situation le justifie de part la sensibilité des activités de l'entreprise, un soutien par exemple du référent régional de l'ANSSI est envisageable.

Ensuite, il faut mettre en place une stratégie mise en application par une politique acceptée collectivement. Les dirigeants et managers devant jouer le jeu... Sinon cela n'aura que peu d'effet !

3
PascalW
il y a 6 ans par PascalW

Pour avoir assister une fois à une présentation de la cybersécurité par l'ANSSI à la CCi de PAU, je crains que ce ne soit pas le bon niveau d'interlocuteur. Ils sont dans une dimension clairement inadaptée à des users lambda.

Pour l'instant sur les sujets de sécurité purement technique (où ma responsabilité est engagée) , j'adopte la technique de la grenouille dans l'eau tiède. Je corrige les défauts doucement, petit à petit (droits trop permissifs, mot de passe faible sur le réseau public, évolution du réglage de l'antivirus,...)
Mais la sécurité, informatique ou pas, est l'affaire de tous et j'arrive au bout de ce que je peut gérer "malgré" les utilisateurs

2
FredericLibaud
il y a 6 ans par FredericLibaud

C'est toute la difficulté du DSI/RSSI et à l'avenir DPO...

Mettre en place des règles qui seront acceptées et appliquées par les utilisateurs, que ce soit les collaborateurs ou le management. Ce dernier doit montrer l'exemple, c'est indispensable !

L'ANSSI ne vous accompagnera pas au quotidien, mais peu par aider ponctuellement... et le meilleur moyen d'informer les utilisateurs c'est de sensibiliser via des acteurs externes et neutres !

1
PascalW
il y a 6 ans par PascalW

Je ne saisis pas bien pourquoi vous parlez de DPO. Ce n'est pas une fonction IT en soi et tant mieux. Je ne suis qu'un fournisseurs de moyens techniques. Les seules données personnelles que j'utilise en tant IT sont celles d'accès et d'utilisation du SI. Le plus gros des données sont exploitées, traitées pour reprendre le législateur, par les métiers. Considérer la fonction de DPO comme fonction IT, est, selon moi, comme demander à Vinci de faire la vidange de ma voiture parce que j'utilise leurs autoroutes. Le DPO est avant un juriste parce que le risque est juridique.

Sur le reste, nous sommes bien en phase et en particulier sur  la nécessité d'avoir un sponsor au plus haut.

1
gmaison
il y a 6 ans par gmaison

@PascalW Bravo et félicitations pour ton poste ! :)

Pour avoir oeuvré pendant quelques années en tant que prestataire technique, l'adhésion à des process ou à des contraintes de la part des utilisateurs est très complexe.

Ce que j'ai pu en apprendre, c'est qu'il faut une part d'imposé, une part de "concerté" et une part de "ça répond à mon besoin".

Pour l'imposé, l'important est surtout que si un "Shadow SI" (même individuel) se met en place, il ne puisse impacter le SI officiel. Autrement dit, une réelle déconnexion. Pas évident, mais c'est au patron de monter au front en manifestant l'intransigeance sur l'imposé.

Pour le concerté, ça passe par la sensibilisation et la formation, l'accompagnement, etc...

Enfin, il y a le "ça répond à mon besoin" ou dit autrement, le "quelle est la réelle valeur ajoutée de la sécurité pour ce que je fais, les tâches que j'exécute" ? C'est la stratégie du gagnant-gagnant : pourquoi, en tant qu'utilisateur, j'ai intérêt *personnellement et individuellement* à mettre en place une stratégie et des outils de sécurité.

User d'analogie pour expliquer permet la compréhension, mais rarement l'acceptation. Mais les sécuriser avec des règles imposées, une égalité (concertation) face à ces règles et la confiance dans ces règles et dans leur adaptation à chacun sont des gages d'adhésion.

Et là, pour ces 3 principes, il y a autant de réponses que d'entreprises ou d'organisations avec chacune ses Points of Failure qu'il faut sécuriser...

3
PascalW
il y a 6 ans par PascalW

Merci

J'aime bien ton approche en 3 points, parce qu'en marge de ma volonté de mettre de la sécurité "en douceur", je dois aussi "marquer mon territoire"  comme tout nouveau manager!

2

Vous aimez Skiller?

Rejoignez la communauté.