La sécurité informatique dépasse les capacités des collaborateurs - mais le "user bashing" est contre-productif
La sécurité informatique fait peser trop de responsabilités sur les employés. Günter Junk, CEO de Virtual Solution, estime que les experts en sécurité doivent accorder beaucoup plus d'attention à l'utilisabilité des solutions. Il estime qu'il est contre-productif de se moquer des insuffisances notoires des utilisateurs.
L'employé joue un rôle central dans la sécurité informatique : il ne doit pas cliquer sur des liens au hasard, il doit trouver des mots de passe forts et les mémoriser, il doit reconnaître les e-mails d'hameçonnage, il ne doit pas se connecter à des hotspots WLAN douteux et s'il se fait voler son smartphone contenant des données d'entreprise, il peut mettre en danger l'existence de son entreprise. En bref, les utilisateurs finaux de l'entreprise sont un facteur de risque, et le mieux serait que seuls des experts en sécurité formés soient autorisés à faire ce travail.
Des collaborateurs surmenés en matière de sécurité informatique
"Un collaborateur veut simplement accomplir son travail le plus rapidement et le plus confortablement possible. Reste à savoir si cela est toujours conforme à la sécurité", explique Günter Junk, CEO de Virtual Solution AG à Munich, un spécialiste international de la sécurité. L'entreprise développe et distribue l'application SecurePIM et le framework SERA pour les appareils iOS et Android. "Mais ce n'est pas le collaborateur qui devrait s'en inquiéter, mais l'entreprise". En effet, les employés sont désormais totalement dépassés par leur rôle en matière de sécurité informatique, a fortiori avec la prolifération des systèmes mobiles, souvent exploités dans des environnements non sécurisés. Les utilisateurs sont confrontés à des cybercriminels qui disposent de ressources presque illimitées, d'un grand savoir-faire et d'une expérience de plusieurs années.
Les besoins des utilisateurs finaux ne sont pas pris en compte
"Si la responsabilité de la sécurité informatique est attribuée à l'employé, l'équilibre n'est plus correct", poursuit Junk. "Les entreprises doivent plutôt mettre à la disposition de leurs collaborateurs des outils avec lesquels ils peuvent travailler confortablement et qui sont malgré tout sûrs et conformes à la protection des données. Mais nous en sommes encore loin". Les collaborateurs ont besoin pour leur travail d'outils avec lesquels ils ne peuvent pas se tromper dans des circonstances normales. Sinon, selon Junk, on ne peut pas non plus leur reprocher quelque chose qui va mal. Lors des décisions informatiques, les entreprises se concentrent généralement sur les fonctionnalités et les coûts, tandis que les besoins de leurs utilisateurs finaux sont négligés. Même des systèmes prétendument sûrs
En fin de compte, les solutions n'apportent aucune sécurité si leur convivialité est si mauvaise que les utilisateurs, s'ils veulent faire leur travail efficacement, essaient de les contourner et notent par exemple les mots de passe sur des bouts de papier.
Des solutions conviviales plutôt que du "user bashing
"Ce sont justement les experts en sécurité qui aiment s'en prendre au 'risque humain' et peindre les insuffisances des utilisateurs sous toutes les couleurs", estime Junk. "Ce User Bashing est très confortable et évite de réfléchir à des solutions qui déchargent enfin efficacement l'employé de sa responsabilité. La sécurité et l'utilisabilité doivent être réunies. Travailler avec des outils sécurisés doit également être agréable et confortable, sinon la sécurité finira par passer à la trappe", conclut Günter Junk.
Plus d'informations : www.virtual-solution.com
