La naïveté d’un bon nombre de collaborateurs fait que leur société ou leur administration deviennent des cibles faciles pour les hackers.
Pourtant, en vue de se protéger, plusieurs questions doivent se poser au sein d’une entreprise ou d’un organisme d’Etat. Mais la toute première doit être :
Quel serait l’objectif final recherché si nous étions attaqué ?
… et non « qui pourrait bien pouvoir nous attaquer ? » ou « qui sont nos ennemis potentiels ? »
Il s’agit de réfléchir différemment, d’où cette première question. Une fois la/les première/s réponse/s obtenue/s, c’est en se posant les questions suivantes que l’on peut avoir une meilleure appréhension des risques :
-
Quel serait l’objectif final recherché ainsi que les sous-objectifs ?
-
Quelle serait l’image dégagée après l’action/l’attaque ?
-
Quels seraient les intérêts directs et indirects de l’action/l’attaque ?
-
Etc.
Les réponses aux questions ci-dessus trouvées, il s’agit de construire les scenarii possibles pour réussir l'attaque. Ces derniers donneront les réponses aux questions :
-
Comment y parvenir ?
-
Qui pourrait ou aurait intérêt de le faire ?
-
Qui pourrait ou aurait intérêt de commanditer l’opération/l’attaque ?
Il faut ensuite déterminer, au sein des scenarii, acteurs et manière de faire trouvés, quelle serait la menace la plus dangereuse ainsi que la menace la plus probable (en moyens financiers, intellectuels, technologiques, médiatiques, etc.). Il sera en suite beaucoup plus simple d’établir sa stratégie de sécurité (« politique de sécurité » suivie de plans, directives, procédures, etc.) dont la première mesure est la sensibilisation de l’ensemble des collaborateurs aux problèmes de sécurité.
S’il est simple d’expliquer qu’une porte doit être fermée à clé et que le collaborateur à la responsabilité de cette clé (numérotée et identifiée), il est en revanche nettement moins facile d’expliquer les bases de sécurité en accès informatique.
Chaque collaboratrice et/ou collaborateur est un des maillons importants de la chaîne sécuritaire de l’entreprise. Il est vrai que les mauvais exemples viennent souvent du haut. Si Angela Merkel est tout à coup surprise d’avoir été écoutée sur son téléphone portable (…), il en va de même avec les soldats engagés en Afghanistan parlant librement par « Skype » avec leur famille (base arrière) tout comme l’employé de banque ayant inscrit son mot de passe sous son clavier. Décidément tous bien naïfs et ne réfléchissant pas sur l’importance de leur comportement dans un contexte général !
Le plus important à traiter dans le domaine de la sécurité informatique comme physique est le « comportemental ».
La démarche dans laquelle l’entreprise ou l’administration va concevoir sa politique de sécurité (informatique) est primordiale pour sa survie comme pour son image. C’est l’enjeu de chaque entreprise, mais surtout sa responsabilité pour la société en général dans laquelle elle évolue. C’est le patron et lui seul qui en a la responsabilité stratégique.
