Category Archives: Information Security

Et vos politiques de sécurité, vous les préférez sommaires ou complètes ? Réflexions sur les deux possibilités !

Dès que l’on parle de bonne gouvernance d’entreprise, on entend très vite les mots « politiques », « règles » et « procédures ». Lorsque l’on dirige une entreprise ou une équipe, la plupart des gourous en « management » vous diront qu’il faut donner des ordres précis ou définir des objectifs SMART (Simples, Mesurables, Atteignables, Réalistes et Temporellement définis).

Sur cette base, bon nombre de grosses entreprises génèrent des dizaines (pour ne pas dire des centaines) de pages de règlements divers que les employés sont supposés connaître et que seuls les personnes qui les ont écrites et le juriste qui les a révisés arrivent à comprendre (et encore, j’ai parfois des doutes sur le sujet…). Quelle société n’a pas son « Code de bonne conduite », son « Règlement d’ordre intérieur », son « code éthique », sa « procédure d’achats », son « code de bon usage de l’Internet », sa « politique de gestion des risques » ou même son « code vestimentaire ». Et là, je n’énumère que les grands classiques, bon nombre d’entreprises ont bien plus de règles que cela, parfois séparées en fonction du public visé (utilisateurs finaux, service informatique, fournisseurs externes, département achat, ressources humaines, etc.) et parfois le tout mélangé dans un document monumental et illisible que l’on n’ose même pas ouvrir tant il nous rappelle ce Best-Seller de 500 page que l’on a jamais fini tellement il est massif. Bref, vous avez des règlements internes (des politiques internes) mais savez-vous combien de personnes les ont lues et les ont comprises ?

Les militaires, dont on pense souvent, et probablement pas à tort, qu’ils sont bien organisés et qu’ils sont plus rigoureux dans leur approche de la sécurité que la plupart des acteurs du secteur privé, ont bien compris ce problème. Un adage bien connu des généraux est qu’  « aucun plan militaire, aussi bien fait soit-il, ne survit au premier contact avec l’ennemi » ou comme le dit cet autre adage : « En théorie, la pratique et la théorie sont la même chose, en pratique, c’est différent ». En conséquence, vous aurez beau prévoir tous les cas de figure possibles et imaginables, il ne faudra pas longtemps pour que quelqu’un tombe sur une situation qui n’ai pas été prévue. Et de toute façon, ils n’auront pas lu vos 2500 pages de règles.

Doit-on écrire encore plus de politiques ?

Avec encore plus de détails ? Même si les juristes adorent vous dire que  « tout ce qui n’est pas interdit est permis » ou encore qu’ « il vaut mieux être trop précis que pas assez », il n’empêche que c’est souvent perçu comme infantilisant. Est-ce que vous travaillez avec des chimpanzés à qui il faut tout expliquer dans les détails ou avec des adultes responsables ? Pensez-vous qu’ils sont trop bêtes pour prendre les bonnes décisions ou bien qu’avec un minimum d’explication et de mise en contexte ils feront les choix appropriés ? C’est peut-être bien les réponses à ces deux questions qui devraient déterminer votre approche. Rappelez-vous cependant que personne n’aime être pris pour un imbécile, infantilisé et dépouillé de toute liberté d’action et d’initiative. C’est mauvais pour le moral des troupes et pour la créativité. Et pour la seconde, si vous avez engagé des imbéciles, peut-être faut-il revoir votre politique d’engagement… ou adapter votre communication.

Comment peut-on s’assurer que nos hommes vont pouvoir prendre les bonnes décisions ?

Nos chers militaires ont bien entendu trouvé la solution à ce problème : Le CI ! Le CI c’est le « Commander’s Intent », une définition concise et claire du but de l’opération et de l’état final désiré. Le CI peut aussi contenir l’idée que se fait le commandant du CI de l’adversaire ainsi que le niveau de risque (de perte) qui est acceptable. Grâce au CI, toutes les personnes qui sont mobilisées dans une opération doivent pouvoir agir de concert, en mobilisant leurs compétences, dans un but commun. Et si par hasard les conditions de réalisation du plan magnifique que vous avez concocté ne sont plus d’actualité, les acteurs de terrain doivent pouvoir facilement adapter leur plans pour pouvoir réaliser leur part de l’objectif fixé.

Comment traduire ce principe dans la société civile?

Certaines  entreprises ont déjà bien compris ce principe et le CI est souvent devenu le « motto » de l’entreprise. Imaginez que vous travaillez pour un fabricant de voiture, je suppose que vous pouvez facilement vous imaginer les comportements et les décisions que vous prendrez si le CI de votre CEO est, par exemple, d’ « être le fabriquant  de la meilleure voiture au monde » ou d’ « avoir le meilleur taux de satisfaction de vos clients ». Ces deux objectifs, qui pourraient être perçus comme une volonté similaire d’excellence, vont néanmoins donner lieu à des choix différents quand il faudra prendre des décisions relatives à l’investissement dans le service après-vente, le service commercial et la R&D. Néanmoins, chaque intervenant de l’entreprise pourra facilement répondre à cette question : « ma décision va-t-elle permettre à mon entreprise de tendre vers ou d’atteindre son objectif ?».

Bien sûr, cela implique que chacun connaisse son métier et les conséquences de ses choix.  D’une certaine façon, on peut se demander si le choix de politiques internes sommaires ou complètes n’est pas une décision stratégique fortement liée aux valeurs de l’entreprise et de son équipe de direction. Micro-management ou macro-management ? Contrôle total et minutieux ou travail en confiance ? Contrôle et répression ou éducation et encouragement ? Chimpanzés ou petits génies ? Le bâton ou la carotte ? Livre ou cinéma ? (OK, là, je pousse le parallèle un peu loin).

En résumé…

Vos politiques internes, et encore plus vos politiques de sécurité, doivent être alignés avec les valeurs de votre entreprise. Personnellement, je préfère éduquer que réprimander. Des politiques brèves qui expliquent ce que l’on attend, pour quelles raisons et qui donnent un contexte et des exemples concrets me semblent plus efficaces qu’une longue liste de paragraphes similaires au code pénal. Et vous, que préférez-vous ?

Comment savoir quelles sont les miettes que vous laissez en surfant? CookieViz!

La Commission Nationale (Française) de l’Informatique et des Libertés (CNIL), qui est connue pour être très soucieuse du respect des droits à la vie privée, a développé et publié sous licence GNU une application « qui identifie en temps réel les cookies qui transmettent des informations vous concernant à d’autres sites »

L’application nommée CookieViz est téléchargeable sur Sourceforge (http://sourceforge.net/projects/cookieviz/). Un système d’installation automatique sous Windows est disponible (des problèmes d’incompatibilité de version de librairie sont possible sous Windows 8) et il semble que l’on puisse aussi l’installer sous Mac OSX et Linux (Je n’ai pas vérifié). Le code source est disponible et toute personne qui désirerait l’améliorer est la bienvenue.