Jean-Henry Morin: «Entre la confiance aveugle et la paranoïa, je propose une logique de confiance éclairée»

Il est de plus en plus question des menaces sur la sécurité des informations dues aux négligences des utilisateurs. Que pensez-vous de cette préoccupation?

Je pense qu’il y a pas mal de mauvaises conceptions autour de l’utilisateur et on l’entend régulièrement de la bouche des consultants pour lesquels l’utilisateur est un problème, alors que pour moi, l’utilisateur fait partie de la solution. Je pense que c’est la seule approche viable dès lors que l’on accepte qu’il n’y an’existe pas de sécurité absolue, ce que l’on doit accepter. Partant de là, il y aura toujours un moyen d’éviter les dispositifs de sécurité: la sécurité ne s’attaque pas, elle se contourne - c’est naturel et c’est humain. Vous pouvez ériger de grandes forteresses, il est toujours possible de les contourner, ne serait-ce que par l’attaque analogique, ou alors il faudrait supprimer l’humain, ce qui n’est pas envisageable. C’est le point de départ de mes travaux: partir de l’hypothèse que l’être humain joue un rôle central dans le système et qu’il faut donc le mettre de son côté.

Il s’agit donc de les sensibiliser aux dangers qu’ils courent et font courir?

La sensibilisation est un aspect extrêmement important et je ne suis pas sûr qu’il soit assez développé. Beaucoup de personnes font au quotidien des choses sans se rendre compte de leur impact sur la sécurité de l’entreprise. La sensibilisation est une première étape, la seconde étant la conscientisation. Il s’agit de mener le collaborateur vers une forme de responsabilisation ou tout au moins de valorisation de cette responsabilité de l’individu dans son milieu. Si l’on engage un collaborateur dans une fonction, il y a a à priori un rapport de confiance entre l’employeur et l’employé, quand bien même des exemples récents montrent qu’il est difficile d’établir ce rapport personnel avec chaque employé dans une très grande entreprise. Certes, le contrôle fait partie intégrante du management et de la gestion des infrastructures techniques, néanmoins cette question de confiance est capitale et on aurait beaucoup à gagner à la favoriser.

Peut-on exiger de tout collaborateur qu’il comprenne les enjeux de ses pratiques, qui peuvent être éminemment complexes comme dans le domaine de la conformité?

Non, mais on peut l’exiger à l’échelle de sa capacité et de sa fonction. Il existe des études qui montrent qu’une personne sur deux est amenée quotidiennement à contourner les politiques de sécurité, tout simplement parce qu’elles l’empêchent de faire son travail. Bien sûr qu’on ne peut pas demander à tout le monde d’être certifié en sécurité à tous les niveaux, mais chacun doit et peut comprendre les raisons et les enjeux immédiats des contraintes qu’on lui impose. C’est à cela qu’il faut travailler et cela permettrait de faire un grand pas. La situation actuelle a des effets néfastes en termes de qualité de travail, pour l’employeur parce que des pratiques ont lieu à son insu et pour l’employé qui se met en défaut et fait courir un risque à lui-même et, éventuellement, à la société. C’est précisément la thèse que je défends: qui mieux qu’un individu, dans sa capacité et fonction, rendu responsable et conscient, est à même de dire ici et maintenant: «je dois absolument accéder à cette ressource pour mon travail; j’en prends la responsabilité.»

Comment peut-on mettre en œuvre cette approche dans la pratique?

Les méthodes traditionnelles empêchent de le faire parce qu’elles partent toutes de l’hypothèse de la non confiance. Elles fonctionnent par ailleurs de façon binaire, de sorte que si l’on ne remplit pas toutes les conditions requises, la réponse est fatalement non, il y a déni d’accès à la ressource. Or, en même temps, les entreprises ont de grands besoins d’agilité et elles doivent pouvoir réagir vite à des situations non anticipées, ce qui est souvent impossible au niveau des systèmes. La seule approche valable est donc à mon avis de donner la possibilité aux utilisateurs de dire pourquoi ils ont besoin d’accéder à une ressource, de laisser un crédentiel permettant de les auditer et d’obtenir l’accès à cette ressource pour un temps limité. Cette solution a deux avantages: d’une part l’utilisateur sent qu’il n’est pas en faute et il engage sa responsabilité; d’autre part, l’employeur est dans une situation très confortable du point de vue de la gestion des risques puisqu’il peut identifier ces situations. En tant que responsable de la sécurité de l’information dans une organisation, vous pouvez très bien mettre en place un tableau de bord basé sur ce modèle qui vous indique en temps réel la variation des demandes de situations exceptionnelles.

Faut-il à votre avis aller jusqu’à supprimer toutes les barrières absolues érigées dans le passé?

Non, il ne s’agit pas tomber dans une confiance aveugle. Il faut conserver les solutions de gestion de risque et de sécurité en place qui fonctionnent bien aujourd’hui. Par contre, il faut augmenter la flexibilité du système. Lorsque l’on travaille pour une entreprise, on reçoit déjà plusieurs crédentiels, pour accéder par exemple à l’e-mail ou à l’ERP. Je propose simplement d’en ajouter un, une sorte de «bouton magique» ou de permis provisoire, qui permet au collaborateur d’engager sa responsabilité pour accéder à une ressource qui lui est interdite. Pour autant bien sûr qu’il ne s’agisse pas d’une ressource véritablement sensible. Entre le paradigme de la confiance aveugle et celui de la paranoïa, je propose une logique de confiance éclairée. On parle en anglais d’empowerment des individus. On ne délègue pas le risque qui reste au niveau de l’organisation, mais on délègue une capacité décisionnelle, que les systèmes ne sont pas à même d’assumer.