Confort ou sécurité : faut-il choisir ?

Alors que la mission du service IT est de veiller à ce que l'ensemble de l'infrastructure fonctionne correctement selon les normes établies, la sécurité n’est pas toujours sa première priorité. À cette fin, c’est aux DSI qu’il revient d’élaborer une stratégie pour définir des objectifs, identifier des missions (ou leur raison d’être) et de fixer des objectifs de sécurité qui permettent d’atteindre les résultats escomptés.

Le côté pratique et la solution de facilité

Les politiques de sécurité peuvent affecter la productivité des utilisateurs, que ce soit par exemple en mettant en place des processus d'authentification multi-facteurs ou encore des méthodes de contrôle qui entravent la facilité d'utilisation des outils (et ce, parfois même pour les systèmes non critiques).

Ces exemples sont généralement des bons moyens pour renforcer l'intégrité et la confidentialité des données, mais cela pousse également les utilisateurs à trouver de nouvelles façons de contourner les contrôles. Les politiques restrictives permettront à l'entreprise de surveiller au plus près leurs actifs, mais les utilisateurs privilégieront toujours la facilité à la sécurité.

Une façon de gérer ce problème est de communiquer dès l'embauche les rôles et responsabilités de chaque employé individuellement au sein de l’entreprise, puis de faire un suivi annuel pour assurer une sensibilisation continue sur la « culture de la sécurité » des informations de l’entreprise. La sécurité devrait être de la responsabilité de chacun au sein de celle-ci, car c’est un élément clé de son développement.

Les objectifs de sécurité

La planification stratégique, tactique et opérationnelle de la sécurité doit non seulement disposer de  métriques et d’objectifs, mais doit également intégrer les équipes dirigeantes et les employés à tous les niveaux. Les politiques de sécurité qui sont décidées par les cadres dirigeants conduisent souvent à des procédures qui, bien qu’elles répondent aux exigences et aux objectifs de sécurité définis, peuvent finir par réduire le rendement des employés, si elles ne sont pas suffisamment équilibrées.

Il est important pour les entreprises de ne pas se contenter de mesures (ou tests) basiques pour s'assurer d'un niveau minimal de sécurité, mais de mettre également en œuvre des mécanismes de sécurité assurant la cohérence de ces mesures entre les réseaux, les applications et les produits utilisés. Les normes spécifiques aux entreprises et les normes gouvernementales peuvent toutes permettre de prendre en compte les facteurs de risque quand elles sont utilisées en tenant compte des meilleures pratiques, des directives et des recommandations de sécurité.

Les objectifs de sécurité doivent être clairement rappelés à tous les niveaux de l'entreprise pour s’assurer que tout le monde sache qu’il a sa part de responsabilité en matière de sécurité

Que retenir ?

Si la facilité d’utilisation venait à prendre le dessus sur la sécurité, les conséquences pourraient être dévastatrices pour les entreprises ; elles pourraient en effet perdre bien plus que des données de clients – et se retrouver dans l’obligation de fermer. Les malwares actuels sont extrêmement sophistiqués et peuvent non seulement se déplacer de façon latérale au sein de l'infrastructure IT, mais aussi offrir aux pirates un accès distant au réseau de l’entreprise.  
D’un autre côté, si la sécurité devient trop paranoïaque et que trop de processus de contrôle sont mis en place, la productivité et la facilité d'utilisation des outils de travail sont mis en péril ce qui peut  entraîner des problèmes de performance pour l'entreprise.

Trouver le juste milieu entre ces deux aspects n’est pas simple à régler, et les DSI doivent soigneusement prendre en compte les actifs et les budgets, en les alignant sur l’activité et la typologie de l’entreprise. Il n'y a pas de recette universelle pour réussir à mettre en place une sécurité qui allierait paranoïa et facilité d’utilisation des outils, mais le secret réside dans une bonne évaluation des risques et savoir définir avec précision où se trouvent vos données critiques.