Vous avez peut-être déjà entendu cette affirmation, faite par un informaticien : « le problème se situe entre la chaise et le clavier ». C'est une façon de sous-entendre que l'utilisateur est le problème ou, à tout le moins, que le problème est de la faute de l'utilisateur. L'affirmation initiale est plus fréquente lorsque l'incident est significatif, et très prégnante lorsqu'il s'agit d'un incident de sécurité.
Une solution est de se passer des utilisateurs et utilisatrices (donc de nos collaborateurs et collaboratrices). Nous n'y sommes pas encore, loin s'en faut.
Une autre possibilité est de les rendre acteurs de votre sécurité, et non seulement de simples usagers. Ce n'est pas aussi difficile que l'on peut le craindre, même si cela ne vous affranchit pas de sécuriser correctement votre système d'informations.
La première étape, et la plus simple, est la sensibilisation. Tout un chacun peut recevoir une sollicitation malveillante (le plus souvent par courriel, mais ce peut être par téléphone, par lettre classique ou par un moyen autre). Nous pouvons tous être poussés à cliquer sur un lien ou à ouvrir un document reçu par courriel. C'est même, pour certains postes, une grande partie de leur quotidien (les ressources humaines pour traiter des CV, la comptabilité pour des factures, etc.).
Sensibiliser vos collaborateurs et collaboratrices, c'est souligner qu'il est nécessaire d'être en permanence vigilant, que l'habit ne fait pas le moine, que la prudence est de rigueur. Si quelque chose paraît bizarre, surprenant ou simplement inhabituel, il y a fort à parier qu'il y a anguille sous roche.
Mais c'est aussi leur donner les moyens d'agir de façon appropriée, ce qui constitue la seconde étape.
Que peut faire Madame Comptable qui vient de recevoir, par courriel, une demande de changement du compte sur lequel régler les factures d'un fournisseur ? Même si elle pense que la demande est légitime, comment peut-elle s'en assurer ? Simplement : en contactant directement le dit fournisseur, par un canal pré-défini (et pas en appelant le numéro de téléphone indiqué dans le courriel originel).
Un document bureautique téléchargé demande à Monsieur Recruteur d'activer des macros ou de télécharger un greffon pour que le fichier s'affiche correctement ? Poser directement la question aux techniciens en charge du système d'informations.
Monsieur Technicien vient de recevoir un appel téléphonique angoissé venant de Grand Patron, qui demande urgemment que l'on change ses mots de passe parce qu'il est à l'autre bout du monde et qu'il doit absolument se connecter pour vérifier quelque chose et finaliser une négociation ? Rappeler le Grand Patron ou son assistant, par une voie classique et pré-établie.
Ce ne sont là que quelques exemples. Aucun n'est inventé ; tous se rencontrent plus souvent que l'on ne l'imagine. À chaque fois, la meilleure chose à faire est de vérifier ce qui est demandé, par un moyen pré-défini ou simple à mettre en œuvre.
Cela signifie que, chaque fois qu'un collaborateur ou une collaboratrice aura un doute, ces procédures de contrôle seront exécutées ; les personnes se trouvant « dans la boucle de vérification » seront alors sollicitées. Il est particulièrement important que ces personnes réagissent bien, notamment lorsque l'on gravit les échelons de la hiérarchie. Et c'est là la troisième étape, la plus complexe : accepter les faux-positifs (oui, vous êtes bien à l'origine de la demande).
Celui ou celle qui vous contacte souhaite vérifier qu'un tiers malveillant n'est pas en train de le ou la piéger, et donc de piéger l'entreprise. Quoi de plus positif qu'une telle vérification, même si elle arrive à deux heures du matin (décalage horaire oblige) après une dure journée de négociations, ou si c'est la trentième sollicitation similaire, par trente collaborateurs différents qui ont tous reçu la même demande ?
Si des procédures ad-hoc vous agacent, mettez en place des procédures plus formelles mais dont l'objectif demeure le même : donner à chacun les moyens de s'assurer que le demandeur est bien celui qu'il prétend être.