Au-delà de la vache violette

Sécurité

09.11.2021
David Mantock, CISO, Chief Information Security Officer

Dès mon plus jeune âge et à mon grand étonnement, j’ai très vite constaté que les adultes ne désignaient pas toujours les objets par leur appellation correcte.

Une fois, lorsque je jouais avec un camarade, ce dernier m’a corrigé sur ce que j’ai appelé « Hoover ». Pourtant, les adultes de mon entourage désignaient cet appareil ainsi, cela devait donc être correct. Mon jeune ami, consterné, s'est exclamé : « Hoover est une marque, ils fabriquent toutes sortes d'appareils, pas seulement des aspirateurs ! »

Cette analogie est identique au domaine de la cybersécurité, le terme « security awareness » a été largement popularisé et accepté. Cependant, je suis persuadé qu’il y a une grande sensibilisation à la cybersécurité. Plus un jour ne passe sans que nous n’entendions parler de phishing, de perte de données, de ransomware ou d'une autre activité malveillante. Et pourtant, des millions de dollars sont consacrés au facteur humain. Quel est donc le terme le plus approprié et qu'essayons-nous réellement d'atteindre ? Tout d’abord, j’admets que nous essayons de sensibiliser et, plus précisément, de susciter de l’intérêt pour le sujet. Pour ce faire, il existe plusieurs façons et différents supports, dont l’un de mes préféré est le suivant :  Et si quelqu’un vous disait qu’il a une vache pourpre ? [1] Cela attirerait votre attention, car il est peu probable de voir des vaches de cette couleur. L’histoire n’est pas terminée, nous visons à adopter un comportement responsable en matière de sécurité. Il est essentiel que les utilisateurs soient préparés pour les divers scénarios sensibles et qu’ils possèdent des instructions complètes pour éviter tout danger. C’est précisément pour cette raison que la vache violette ne suffit pas.

D’une part, nos utilisateurs doivent être sensibilisés, de l’autre, ils doivent accepter la responsabilité de réagir de manière calme et prédéfinie. Notre plus grande liberté est celle de faire des choix, qu’ils soient bons ou mauvais, cela fait partie de la vie et nous en avons tous fait. Pour revenir à mon enfance au Royaume-Uni, je me souviens que les voitures étaient équipées de témoins lumineux qui s’allumaient lorsque la ceinture de sécurité n’était pas bouclée. A cette époque-là, le port de la ceinture n’était pas obligatoire et de nombreux conducteurs attachaient la ceinture derrière leur siège. Aucun signal lumineux ou sonore gênant. À la suite de nombreux événements tels que les coûts humains (vies perdues, accidentés graves), prévention et modification de la loi, la situation a pu être reconnue et acceptée menant ainsi au comportement requis.

[1] https://en.wikipedia.org/wiki/Purple_Cow:_Transform_Your_Business_by_Being_Remarkable

Au-delà de la vache violette

L’adhésion et la collaboration de toutes les parties prenantes sont essentiels pour promouvoir un comportement responsable en matière de sécurité. Tout comme dans votre habitat, tout est conçu pour répondre aux besoins des personnes qui y vivent. Et normalement, chacun sait ce qui lui permet d'être en sécurité. En revanche, si un membre de la famille est un bébé, on ne s'attend pas à ce qu'il évite les escaliers et ne tombe pas. La chose à faire serait d'installer une barrière pour bébé en haut de l'escalier. Nous pouvons tous avoir de l'empathie pour un bébé et répondre soigneusement à ses besoins. Dans l'entreprise, nous devons faire de même. L'utilisateur n'est ni le maillon faible, ni le maillon fort. Il n'est qu'une partie du système, alors ne blâmez pas l'utilisateur, tout comme vous ne blâmeriez pas le bébé. Travaillons plutôt à un comportement responsable en matière de sécurité, mais faisons-le ensemble. Soutenons-nous mutuellement, construisons de meilleurs systèmes et n'oublions pas : L'empathie d'abord, car la sécurité humaine en découlera.

back to panels