Plus que jamais, les employés doivent assumer leurs responsabilités en matière de sécurité de l’information. Les employeurs ont le devoir de les aider à cet égard.
Au fil des ans, les entreprises ont adopté des technologies destinées à protéger leur infrastructure TI des menaces externes. Bien qu’efficaces, ces mesures ont été considérées à tort comme une panacée et ont ainsi conduit à un certain laxisme.
« Les entreprises se sont fiées à la protection qu’elles ont mise en place au fil des ans sans plus se soucier d’évaluer les risques et d’investir dans la sécurité, commente Alex Bédard, directeur de la sécurité chez TechnoConseil et membre du Conseil d’administration de l’Association de la sécurité de l’information du Québec (ASIQ). Il est nécessaire de prendre le recul nécessaire afin de déterminer où se situent les risques et d’instaurer les mesures qui s’imposent. »
L’éparpillement des données d’entreprise sur des plateformes et dans des environnements divers fait en sorte que le périmètre de sécurité tel qu’on l’a connu jusqu’ici n’existe plus. Travailleurs mobiles et télétravailleurs doivent aujourd’hui veiller à protéger les actifs informationnels de l’employeur.
« Cette responsabilité leur est transférée », précise Eugène Gaumond, directeur, Sécurité TI et conformité, Banque de développement du Canada (BDC).
Il y a beaucoup de chemin à faire en matière de sensibilisation, renchérit la vice-présidente, Technologie de l’information et gestion du portefeuille de projets à la BDC, Chantal Belzile. « Il est facile de sécuriser les médias; nous avons les outils pour le faire, dit-elle. Les gens s’en remettent à cette sécurité physique et oublient les éléments non informatiques. »
On pense ici à la négligence des utilisateurs qui, dans un lieu public, ne prennent pas les précautions nécessaires contre le vol de leur appareil mobile, ne se préoccupent pas de ce que l’on peut voir par-dessus leur épaule à l’écran de leur ordinateur, ou omettent de mettre des documents confidentiels sous clé…
« Il faut éduquer, former, donner aux employés les moyens d’assurer un niveau de sécurité acceptable en imposant le moins de contraintes possibles, suggère Eugène Gaumond. Autrement, les employés prendront des raccourcis face à leurs obligations. »
Si l’être humain est le maillon faible de la chaîne, comme le rappelle Dominique Bérubé, conseiller en sécurité au Bureau de sécurité des technologies de l’information de l’Université Laval, il est aussi un outil de sécurisation important.
Dans ce contexte, la sensibilisation devient un élément clé.
« On ne peut interdire, croit Chantal Belzile. Le grand défi consiste à trouver le bon niveau de sécurité sans diminuer la capacité à faire le travail. Pour y arriver, il faut engager la participation des gens d’affaires, le personnel des TI ne pouvant tenir le rôle du policier. »
Il importe donc d’implanter les contrôles adéquats en fonction des risques sur le plan des affaires.
