The Conspiracy by Bold&Blond CC Flickr

Echec des discours de sensibilisation à la SSI ?

The Conspiracy by Bold&Blond CC FlickrPetit billet rapide pour vous partager quelques lectures rapides du moment. L’Express a dévoilé il y a quelques jours une note en provenance de Matignon, rappelant les règles essentielles de sécurité quant aux usages de Smartphone. A destination des ministres et de leurs collaborateurs, ce rappel fait sourire. Tous leurs fonctionnaires subordonnés, sous l’égide de l’ANSSI, doivent théoriquement se contraindre à de multiples règles et chartes informatiques dans les divers services. Rappeler ces évidences aux « leaders » de ces administrations a quelque chose d’ironique, comme l’ont relevé Nicolas Arpagian et Alain Juillet.  L’actualité « Snowden » ne semblant pas déranger outre mesure nos ministres, certains s’offrent encore le luxe d’ignorer ce rappel élémentaire.

Je trouvais intéressant également de mettre cela en relation avec l’éditorial de Hervé Schauer dans la Newsletter HSC n°109 de septembre, où il expose que la SSI est en train de perdre ce qu’elle a de plus précieux, à savoir une réelle expertise, au profit de « professionnels » banalisés experts en tableaux de bord, hypocrites ou incompétents, n’en comprenant plus les enjeux, où le service rendu n’est plus une expertise (un ancien ‘slide‘ SSTIC est éloquent aussi).

Il est vrai que ces « spécialistes » donnent parfois plus à voir du comptable administratif et juridique mettant en œuvre un carcan législatif et contraint pointilleux que du technicien expert en maîtrisant les tenants et aboutissants. Sur un exemple extrême, un ami me confiait qu’il était pratique de mettre à ce type de postes des gens n’y connaissant rien (techniquement) car ils appliquaient strictement les consignes.

Enfin, tout cela mis en parallèle d’un article dont beaucoup de monde s’est moqué à l’époque, à savoir la sensibilisation aux dangers de la divulgation d’informations sur les réseaux par la DCRI à Sciences-Po Paris, destinée normalement aux étudiants et rapportée par le journaliste Martin Untersinger sur le site Rue89 –ou moins visible à l’époque, mais dans un effet mimétique quelques jours après (comme cela arrive beaucoup, transpirant par un effet mimétique du « web » à la presse papier)- dans Le Point, avec une thématique à peu près similaire. Beaucoup en avaient ri, rient-ils encore aujourd’hui ?

Ces lectures me trottaient dans la tête quand je parcourais la page Hapsis, intitulée « Etape 2/4 : La sensibilisation des employés – Comment s’y prendre ? » relayée dans ma TL par Vincent Lemoine. J’y constatais des notions de population conjoncturelle et fonctionnelle, qu’il était nécessaire d’identifier en amont du projet de sensibilisation afin de s’y adapter, et des notions de cartographies conjoncturelles et fonctionnelles qui doivent permettre de se représenter les parties prenantes, de comprendre  où axer les efforts et d’identifier en amont les problèmes d’adhésion, de sorte de développer et d’affiner les contenus et les messages clés à diffuser. Le message est peut-être pertinent, mais j’avoue que je l’ai trouvé indigeste.

En revanche, cela m’a rappelé un guide LEXSI du 1er trimestre 2013 que j’avais alors trouvé excellent et qui constatait également l’échec des sensibilisations « ordinaires » et préconisait d’adapter le discours à la population actuelle des travailleurs, les « Y », ceux-là même qui semblent imperméables au discours de sensibilisation et réfractaire aux chartes et règles préconisées. Je fais partie de cette génération, et vous peut-être aussi ? En cas de soucis informatiques dans la boite ou sur votre poste, vous êtes en mesure de le régler, mais vous êtes souvent bridés dans sa résolution à cause des règles d’accès et d’autorisations sur le poste de travail. A défaut, si vous ne connaissez pas spontanément la solution au problème, vous savez le formuler pour en trouver des résolutions sur les forums. Bref, vous êtes à l’aise et pensez connaître –de temps en temps à raison !- davantage parfois que le RSSI en titre (qui colle ses affiches de charte informatique, rabâche le même discours soporifique aux séances obligatoires de sensibilisation et dessine ses jolis tableaux de bord pour la direction). Vous souriez ? Vous êtes un « Y » ou assimilé ! On est tous dans la même galère ^^

Que (me) faudrait-il pour être réceptif aux discours de sensibilisation ? Un RSSI/DSI compétent techniquement, passionné et passionnant, possédant une véritable expertise. Qu’il démontre par l’exemple les faiblesses avec des mises en situation, qu’il cite et explique des exemples d’actualités d’erreurs et failles dans d’autres boîtes, qu’il teste à l’insu des intéressés et explique ensuite collectivement où ils ont fauté (sans jeter l’opprobre sur l’intéressé), par la mise en œuvre de vecteurs innovants, participatifs et collaboratifs, etc. Voilà de vraies pistes à creuser et innover. La démonstration DCRI citée en début d’article n’était rien d’autre qu’une mise en situation/condition, où l’interlocuteur préparait et adaptait son discours à son auditoire en ayant sondé en amont à qui il aurait à faire face. La démonstration par l’exemple, avec un personnel techniquement compétent, qui m’en apprend et me surprend, et finalement suscite mon adhésion (C’est l’objet notamment du contenu du guide LEXSI que je vous invite à parcourir).

Faire preuve d’autorité pour imposer une règle à laquelle l’auditoire n’adhère pas, faute de l’avoir comprise ou mesuré la pertinence, ne sert à rien, sinon se couvrir par rapport à la direction. Jeter la faute sur l’utilisateur final par défaut, le culpabiliser et le sermonner par précaution avant l’erreur fatale, ne pas reconnaître que son discours n’est pas adapté : c’est le contraire d’une démarche pédagogique, tout le monde s’y accorde. @bartblaze a écrit tout récemment un texte de bon sens sur cette thématique (plus généraliste dans son objet il est vrai), exposant que blâmer les individus est contre-productif, « Malware: the blame game. »

Les règles ne sont fonctionnelles que si elles sont respectées par tous : pour cela, elles doivent être comprises et adoptées, par adhésion et non par contrainte. Il n’y a qu’une vraie expertise technique (comme démontrée dans l’éditorial de M. Schauer), couplée à un talent pédagogique et la passion de la transmission de savoirs, qui pourrait susciter une telle adhésion. Messieurs les RSSI/DSI, au boulot ! Étonnez-nous, surprenez-nous, expliquez-nous, apprenez-nous :)

 

Crédit Photo cc FlickR.

Télécharger le billet en PDF.

Publié par

Gof

Canard boiteux numérique ; juste intéressé, juste passionné.

9 réflexions au sujet de « Echec des discours de sensibilisation à la SSI ? »

  1. J’aurais du mentionner aussi, en exemple, le constat rapporté par barbayellow, au sujet d’une intervention qu’il a effectuée avec fo0 au festival international de photojournalisme de Perpignan, Visa pour l’image.

    Mais j’ai oublié :/ Je le rajoute donc en commentaire.

  2. En relation, comme le relevait Nicolas Caproni via Twitter, le constat est établi depuis longtemps mais les mêmes erreurs sont inlassablement répétées par de nombreux acteurs. Quelques billets plus anciens pleins de bon sens :

    – 25/05/2010 Sensibilisation : savoir s’adapter à son public par Jérôme Saiz
    – 13/10/2011 La Sécurité de l’Information est-elle un échec ? par Sivis Pacem et Cidris (succession de billets/articles liés à cette thématique. Un index des billets publiés précédemment -dès octobre 2011- est disponible sur le site de l’AGS).
    – 15/04/2013 ISSA France : Un after work sur le thème de « L’échec de la sécurité informatique » via ISSA FR, avec les ‘slides’ de Nicolas Caproni.

  3. A mon sens ce billet confond la fonction et la personne qui porte la charge de cette fonction.

    Les métiers de technicien, chef de projet, formateur, communiquant… correspondent à des profils différents. On ne peut pas avoir pour perspective d’espérer que demain naissent des moutons à cinq pattes seuls en capacité de faire progresser la SSI.

    Le terme de RSSI est d’ailleurs peu approprié. En fait, cette personne n’est pas à proprement parler « responsable » de la protection des informations. C’est le chef d’entreprise ou le chef de l’Administration qui porte cette responsabilité. La SSI apporte du conseil et du savoir faire. Sanctionnez vraiment les comportements déviants au regard des procédures de sécurité et vous verrez combien leur application va devenir une réalité. Or les manageurs sont très légers sur la compréhension des impacts avant qu’un incident ne survienne et sont souvent les premiers à transgresser les règles.

    Quant aux utilisateurs lambda, je ne crois pas du tout au showman qui subjugue son public et emporte leur adhésion ! Je crois plutôt que toute mon enfance on m’a répété encore et encore qu’il faut se méfier de la gazinière et de l’eau bouillante (ça brûle !) et qu’il faut regarder à gauche et à droite avant de traverser… avec un obstacle en plus pour la SSI : le risque informatique est souvent très abstrait si on ne possède pas le BAba technique.

    Cordialement

    1. Bonsoir Stanislas, merci d’avoir pris le temps de déposer un commentaire.

      C’est vrai que c’est ambitieux d’espérer avoir un personnel pluridisplinaire. Mais sauf dans les grandes structures -privées ou non- où les attributions sont strictement et clairement définies, il me semble que le porteur de la tâche possède de fait cette multi-responsabilité dans les petites entités. Sauf à espérer pour ces petites structures des fiches et des salaires de postes très attractifs pour y attirer ce personnel multicompétent, la seule alternative est d’y posséder un ‘mouton à 5 pattes passionné’ pour un discours porteur et crédible.

      Quand aux grands organismes, où les tâches sont cloisonnées, il ne me semble pas rare que le marquant ‘référent’ (à défaut de responsable, comme vous le faites remarquer, malgré la désignation officielle de la fonction) SSI soit alloué en égard à la position hiérarchique de l’intéressé (en mesure de contrôler et donc de sanctionner) sans aucune prise en compte de ses compétences techniques en la matière ; considérant peut-être que ce ‘savoir’ peut s’acquérir comme toute matière comptable où il suffirait d’être instruit un certain nombre d’heures pour en maîtriser les enjeux. Cela me semble déconnecté de la réalité technique du terrain.

      Avant même d’émettre le message, le poste émetteur est mal configuré il me semble. Quand en plus les récepteurs sont calés sur des fréquences différentes (changement générationnel, des usages, etc.), il me semble qu’il ne peut y avoir que des difficultés à la transmission des messages et discours, pour reprendre une métaphore basique de marketing/communication.

      Alors certes, c’est peut-être vain de gloser sur la crédibilité et l’intérêt du discours. Il est vrai qu’on demande à des salariés, des collaborateurs, voire même aux responsables, d’appliquer des règles qui leur sont connues et notifiées sous peine de sanction. Qu’ils soient réceptifs ou non à celles-ci, on leur demande de les appliquer, point. On pourrait se contenter de cet état de fait et clore le débat ainsi. Mais je ne crois pas qu’on aurait beaucoup avancé finalement.

      Quant à ceux qui transgressent et qui mériteraient la sanction, il conviendrait de distinguer je crois ceux qui le font par indifférence, malveillance, et ceux qui se le voient imposés de fait par la nature même des objectifs qui leur sont demandés (ce que j’essayais d’évoquer dans les commentaires sur le billet de Pascal Steyer), où cela démontre une certaine hypocrisie des directions (surtout dans les grandes structures où il y a assez de personnel pour anticiper ce paradigme). Je prendrai pour exemple le billet un ‘souci dans l’énoncé‘ où des administrations créent des adresses via des web-mails grands publics pour simplement transmettre des pièces jointes volumineuses à des prestataires avec qui ils ont l’obligation contractuelle de travailler, avec tous les soucis et prise de risques que cela va ou peut engendrer. Constaté de visu.

      Après, il est vrai qu’en tant que petit amateur intéressé, mes interrogations doivent rester de l’ordre du verbiage et qu’il y a sans doute suffisamment de gens compétents pour anticiper tout cela, y réfléchir et définir les meilleures réponses adaptées. Je suis en position de facilité,n’ayant pas à rendre de compte et pouvant me permettre de relever quelques dysfonctionnements sans avoir l’obligation d’y apporter des suggestions de résolution. Je le conçois, certains enjeux me dépassent très certainement, et je dois confondre ou assimiler pas mal de problématiques de façon arbitraire :)

Les commentaires sont fermés.