Sensibilisation et l’importance de la proportionnalité

Written by Manu Steens in GCA,Gestion des risques 
Sensibilisation et l’importance de la proportionnalité
La sensibilisation et l’importance de la proportionnalité ne sont souvent pas reconnues. Souvent, la sécurité informatique est occupée à plein temps par la « mise en œuvre de la norme » pour les besoins de l’audit. C’est un objectif en soi. Entre-temps, le facteur humain est le point faible de la chaîne de sécurité.Dans cette contribution, j’écris ma propre opinion, et non celle d’une quelconque organisation.

Auteur : Manu Steens

Contenu

Proportionnalité

Beaucoup d’organisations veulent faire de la gestion des risques et de la gestion de la continuité des activités. L’intention, bien sûr, est de le faire en fonction de la « proportionnalité ». Toutefois, les normes ne précisent pas ce qu’est la proportionnalité.

Lorsque l’on parle de proportionnalité

Lorsque l’on parle de proportionnalité, on est toujours confronté à deux choix : en faire plus ou ne pas en faire. Les défenseurs de l’idée d’en faire plus ont l’avantage des mathématiques à cet égard : les statistiques peuvent montrer combien de choses ne vont pas. Les défenseurs de la « proportionnalité signifie ici ne pas en faire plus » sont désavantagés car ils ne disposent que d’une discussion qualitative et d’un appel à le si dangereux « bon sens », que les deux parties peuvent invoquer.

Problème des défenseurs

Le problème auquel se heurtent principalement les défenseurs de la proportionnalité est le fait que l’aversion pour le risque sape le lieu de travail des utilisateurs des technologies de l’information. Cela implique souvent l’intervention de la sécurité des TIC, de la gestion de la continuité des activités et de la gestion des risques pour réduire les risques à un minimum mathématique, souvent au détriment de la patience, de la compréhension et de l’expérience des utilisateurs finaux. Leur capacité et leur résistance aux événements de sécurité de toutes sortes sont ainsi considérablement réduites. Ils recommencent à prendre des risques. La sécurité doit donc être un exercice équilibré.

La crainte est justifiée

Les organisations accordent aujourd’hui une plus grande attention à l’utilisation des TIC par leurs employés. La crainte est justifiée. La diversité des TIC, tant sur le plan géographique et budgétaire qu’en termes d’applications, fait que le lieu de travail a beaucoup changé en termes de risques par rapport à ce qu’il était il y a, par exemple, 40 ans. La téléphonie mobile, l’internet, etc., permettent aux employés de communiquer avec des connaissances, à l’intérieur et à l’extérieur de l’organisation, pour le travail ou non. La technologie a redéfini la communication et a apporté ses propres dangers. Certains affirment que ces dangers ne peuvent pas être gérés. Les employés y voient surtout un plaisir de communiquer avec le vaste monde dans lequel se trouvent leurs connaissances. Par conséquent, les frontières entre la vie professionnelle et la vie sociale s’estompent, par le biais d’un mélange entre la vie réelle et la vie virtuelle.

Tout cela, avec de nouveaux dangers qui peuvent se propager beaucoup plus rapidement dans le monde virtuel, a donné lieu à une multitude d’aversions au risque. Cela a créé une culture de la peur en raison de l’opposition entre les TIC et les employés.

Le rôle du risque pour l’environnement de travail et les employés

Il existe quatre grands types d’arguments expliquant pourquoi le risque et sa confrontation dans l’environnement de travail sont importants pour les employés.

La confrontation

La confrontation des salariés à certains types de risques les aide à maîtriser, à gérer ces risques. C’est un avantage que l’employé emporte avec lui tout au long de sa vie, au-delà des frontières de la vie professionnelle et de la vie privée. L’installation d’un antivirus (gratuit), le choix d’un autre navigateur web ou même d’un autre système d’exploitation en sont des exemples concrets.

Un appétit caché

Certains employés ont un appétit caché pour la recherche de risques. S’ils n’y sont pas confrontés, cela les conduit à se mettre dans des situations encore plus dangereuses par la suite. Un exemple concret est l’ouverture de pièces jointes à des courriels, où le problème peut se poser de l’apparition de virus. Le fait de ne jamais être confronté à ce risque signifie en soi qu’ils ne peuvent jamais cultiver le sens du danger. C’est particulièrement vrai pour les jeunes employés plus studieux.

Bénéficier d’avantages secondaires

Les employés peuvent bénéficier d’avantages secondaires. Lorsque l’organisation leur permet de s’engager dans des activités qui impliquent un certain degré de risque. Par exemple, lorsqu’un employé peut dépendre d’un tiers pour les résultats de son travail. Cela peut stimuler dans une certaine mesure son réflexe de « réflexion après coup » à l’approche d’une étape importante d’un projet.

Des avantages à long terme

Il y a également des avantages à long terme à affronter le risque en incorporant des traits de caractère et en faisant preuve de prudence face aux menaces. C’est le cas lorsqu’ils font l’expérience, ou ont connaissance, de la possibilité de pertes pour l’organisation ou pour des personnes privées, …. Par exemple, un employé qui efface accidentellement la base de données de son patron. Il est préférable qu’il ne soit pas licencié parce que le fait en lui-même l’aura affecté. Il ne commettra plus jamais cette erreur.

Toutefois, ces quatre points appellent deux observations.

1°) Il ne s’agit certainement pas d’un plaidoyer en faveur d’une mentalité de « laissez faire laissez passer » en ce qui concerne la sécurité des TIC, la gestion des risques et la GCA. Il s’agit d’un appel à un équilibre entre ces éléments et les risques autorisés.

2°) Il sera très difficile si quelqu’un veut justifier les avantages allégués. Il est facile de calculer les risques encourus, il est difficile de démontrer les risques évités. Il est donc parfois impossible de trouver le bon consensus.

Risques encourus par les employés : leur comportement et leur attitude

Plusieurs points de vue

Les employés ont plusieurs points de vue sur la sécurité. Ils accordent une grande importance à la gestion des risques et veulent que les équipes de sécurité les aident à le faire pour que les menaces ne soient pas un spectacle « NIMBY ». Mais face à cela, il y a leur désir interne de liberté sur le réseau interne et externe où ils peuvent faire de plus en plus de choses. Ils veulent être autonomes. Ils ont un désir intense de ne jamais être confrontés aux équipes de sécurité. Ainsi, ils recherchent alors des défis et des moments excitants lorsqu’ils ouvrent un courriel d’une connaissance qui contient une pièce jointe. Ils montrent des signes d’envie d’exploration, même pour le travail, lorsqu’ils commencent à expérimenter les documents Google. Ils sont très compétents pour faire face aux menaces spécifiques à leur travail. Il s’agit par exemple de respecter les délais, d’interpréter correctement des textes juridiques, de vérifier les données saisies par un collègue, de tester des applications TIC.

Analyser les risques

Mais aussi pour analyser les risques liés aux projets et aux méthodes de travail…. En revanche, ils sont totalement insensibles aux menaces propres à la gestion de la continuité des activités et aux TIC, qui sont plus fréquentes dans les analyses de risques relatives à la sécurité des TIC et à la gestion de la continuité des activités. En imposant fortement la vision de la sécurité avec une limitation aux risques imposés par les normes, qui ne sont que partiellement adaptées à la situation de travail des employés, on crée une aversion naturelle à l’égard de la partie de l’organisation spécifiquement responsable de la réglementation de leur sécurité. La sécurité des TIC, la GCA et la gestion des risques, pleinement considérés comme contribuant à la sécurité, sont susceptibles d’être perçus comme un parent maladroit qui n’arrive pas à dénouer le cordon ombilical. L’éducation des employés implique donc de leur permettre d’avoir leur mot à dire sur leur comportement en matière de risque. Il doit s’agir d’une collaboration entre le client et les équipes chargées de la sécurité.

Causes de l’aversion au risque

L’approche typique

L’approche typique des régulateurs consiste à imposer le « bon sens » en exigeant la mise en œuvre de normes et de lignes directrices en matière de sécurité. Selon certains, le problème qui en découle est que la flexibilité dans la gestion des problèmes et des solutions, ainsi que le jugement professionnel, sont limités. Afin de libérer cette flexibilité et de la maintenir, une certaine exposition aux menaces est la bienvenue. Lorsqu’il y a une mise en œuvre somptueuse des normes prescrites sans une compréhension approfondie des raisons pour lesquelles une mesure est nécessaire dans le secteur public et de la manière dont ces mesures s’articulent pour obtenir une sécurité opérationnelle qui est plus qu’un simple dispositif de sécurité, un angle mort se développe.

Des conséquences

Les employés commencent alors à voir dans la sécurité des personnes qui se mêlent de tout et qui savent tout, et ils s’en détournent. Du côté des équipes de sécurité, l’aversion au risque s’est manifestée en même temps : elles mettent en œuvre des normes. Ni plus ni moins. La norme devient ainsi le critère de discussion. Et non le « bon sens » (la conscience et l’importance de la proportionnalité) dont il était question en principe. Cela donne lieu à la mise en œuvre de choses mathématiquement mesurables et à un mépris pour les résultats qui sont difficiles ou non mesurables.

À quoi consiste la sécurité?

La sécurité ne consiste pas à rendre l’environnement de travail totalement dépourvu de risques. Il s’agit de trouver un équilibre entre les avantages et les inconvénients, en se concentrant sur la réduction des risques réels. Tant ceux dont la fréquence d’apparition est élevée que ceux dont l’impact est grave. En conséquence, le risque global dans l’environnement de travail, dont l’environnement informatique fait partie, doit évoluer vers « le niveau le plus bas qu’il soit raisonnablement possible d’atteindre ». Il faut donc proportionner les efforts aux menaces.

Encore une fois : Proportionnalité

Quand tu n’as pas été entendu

Il est évidemment inutile d’expliquer que la proportionnalité sonne dans l’oreille d’un CIO dont les environnements informatiques viennent de subir une attaque réussie. Ou à un CFO dont les comptes viennent d’être pillés par un ver ou un cheval de Troie. Ou à CRO qui vient de déplorer quelques morts dans l’incendie de son entreprise. Il n’en reste pas moins que les normes doivent prôner la proportionnalité, en s’appuyant sur des données chiffrées et des arguments philosophiques approfondis plutôt que sur des émotions. C’est ce qu’exprime le rapport de la Commission pour une meilleure réglementation intitulé « Risque, responsabilité et réglementation » :

“Misfortune, tragedy and loss sit at the heart of many risk debates and government can be overwhelmed by the need to respond sympathetically and try to make things better. This frequently clouds the process of choosing the best response and can make the option of “no action” appear both uncaring and irresponsible”.

La valeur de ce rapport

Plutôt que de chercher à créer la confusion, ce rapport appelle à un débat délibératif qui s’élève au-dessus des émotions concernées et sépare les faits des émotions. C’est essentiel, car le point de vue des victimes d’une catastrophe donne généralement lieu à des réactions excessives d’aversion au risque.

Mais outre l’aversion pour le risque, il existe également la compensation du risque. Ce phénomène se produit lorsqu’une personne répond à une situation sûre par un comportement plus risqué. Le problème que vous rencontrez en tant qu’équipe de sécurité avec ce phénomène est qu’il est difficile ou impossible de l’attribuer comme cause d’un incident, et que l’augmentation de l’impact associé n’est pas mesurable. La compensation des risques est probablement plus fréquente pour les menaces de (très) faible fréquence.

Finalement

En outre, il ne faut pas considérer la sécurité comme une fonction essentielle de l’organisation. Elle doit être co-organisée et planifiée en fonction de l’activité de l’entreprise. En impliquant l’entreprise dans des domaines tels que la gestion des risques, elle apprend de sa propre expérience à s’engager davantage dans la gestion des risques et la prise de conscience devient plus évidente. Elles peuvent ainsi apprendre à connaître la sécurité comme un facilitateur de l’activité et non comme un ensemble de règles bloquantes. Cela leur permet de voir qu’un frein de voiture leur permet d’atteindre des vitesses plus élevées sur la route. C’est une philosophie qui est saine en ce qui concerne le travail.

La mise en œuvre pure et simple d’une norme sans attitude critique est dangereuse, car elle ne crée pas d’état d’esprit propice à la sécurité. Tout sens du risque menace de s’évanouir. La solution consiste alors à impliquer les entreprises dans leurs propres problèmes. C’est ce que permet la gestion des risques. Planifier cette entreprise avec le bon état d’esprit oblige les concepteurs de l’entreprise à faire des compromis entre les intérêts contradictoires qui peuvent apparaître entre les exigences de sécurité et leurs objectifs. Et ces compromis sont le résultat d’un ensemble de jugements raisonnables, et non d’une évaluation mécanique purement standard. Si la sécurité est construite de cette manière, fidèle à cette façon de penser, elle répond aux règles de proportionnalité, à mon avis. En d’autres termes, si la sécurité répond aux besoins de l’entreprise, incorporés de manière équitable, il y a proportionnalité. Et la prise de conscience suivra.

Manu Steens

Manu travaille au sein du Gouvernement flamand dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes. Depuis 2012, il travaille au Centre de crise du Gouvernement flamand (CCVO), où il a progressé en BCM, gestion des risques et gestion de crise. Depuis août 2021, il est travailleur du savoir pour le CCVO. Depuis janvier 2024, il travaille au Département de la Chancellerie et des Affaires étrangères du Gouvernement flamand. Il combine ici BCM, gestion des risques et gestion de crise pour créer une forme de gestion de la résilience sur mesure répondant aux besoins du gouvernement flamand.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts