Gartner : la sécurité centrée sur l’utilisateur, ça marche !
Gartner estime que les entreprises courageuses, avec la bonne culture de la sécurité, et l'implication requise de leurs dirigeants, retirent des bénéfices d’une approche de la sécurité centrée sur les utilisateurs.
Gartner estime que les entreprises courageuses, avec la bonne culture de la sécurité, et l'implication requise de leurs dirigeants, retirent des bénéfices d’une approche de la sécurité centrée sur les utilisateurs.
Certes, adopter une telle approche n’est pas un exercice aisé. Mais les cas concrets ont produit des résultats, a assuré le chercheur Tom Scholtz lors du Gartner IAM Summit 2015, à Londres.
Réduire les contrôles de sécurité peut... améliorer la sécurité
Et bien que la sensibilisation soit un élément essentiel, la sécurité centrée sur les personnes va au-delà de la simple formation et vise à remettre en cause la vision traditionnelle selon laquelle l’humain constitue le maillon faible.
A l’inverse, en permettant à chaque employé de faire des choix de sécurité éclairés, les entreprises peuvent faire de chaque collaborateur un agent de sécurité et rendre la protection de l’information robuste.
Pour Tom Scholtz, une telle approche « transfère la responsabilité de la sûreté sur les individus et les encourage à être plus vigilants, à penser prudemment à leurs actions et à leurs conséquences potentielles ».
Alors, même si cela peut paraître contre-intuitif, réduire les contrôles de sécurité peut améliorer le moral des équipes, améliorer la sécurité, et réduire la bureaucratie interne et donc les coûts : « les organisations qui ont suivi cette approche rapportent qu’en passant d’un modèle centré sur les contrôles à un modèle centré sur les personnes ont réduit le risque et amélioré la sécurité ».
On ne peut tenir responsables que des personnes comprenant les conséquences de leurs actions
La sécurité centrée sur l’utilisateur se fonde sur une double reconnaissance : celle des droits de l’utilisateur, d’une part, et celle de ses responsabilités à l’égard de l’entreprise et des autres utilisateurs du système d’information de l’organisation.
Les utilisateurs sont libres de leurs décisions, mais ils seront tenus responsables de leurs actions sur la base d’un ensemble de principes clés.
La formation est là un élément clé, relève Tom Scholtz, parce que l’on ne peut tenir responsables de leurs actions que des personnes comprenant les conséquences de celles-ci : « les utilisateurs ne peuvent pas prendre des décisions, dans le vide, sans comprendre les conséquences de l’utilisation du SI et de l’information ».
La capacité à superviser les décisions et des actions de chacun est un autre composant essentiel de la sécurité centrée sur l’utilisateurs : elle permet d’assurer que lorsqu’une erreur survient, elle est rapidement identifiée, corrigée, et que les leçons à en tirer le sont tout aussi vite.
Alors, oui, pour Tom Scholtz, la sécurité centrée sur l’utilisateur reste un domaine en construction. Mais tous les déploiements à ce jour se sont fondées sur sept principes de base.
7 principes clés
Et cela commence par l’identification des personnes "comptables". Là, le propriétaire de l’information reste comptable de sa protection, car il est le mieux placé pour savoir qui devrait pouvoir accéder à cette information.
Les utilisateurs seront tenus responsables des conséquences de leurs actions, via une supervision collective, et l’on attend d’eux qu’ils agissent de manière responsable et éthique dans leur utilisation de l’information.
En passant à la sécurité centrée sur l’utilisateur, un industriel est passé de 1.500 à 17 rôles dans son ERPGartner
La réaction à tout comportement inapproprié sera immédiate. Mais il sera accordé plus d’importance aux efforts en faveur du respect des bonnes pratiques qu’aux actions punitives.
« Il s’agit de considérer a priori que toute action inappropriée est une erreur sincère, et que la personne concernée devrait être aidée à comprendre pourquoi afin de ne pas reproduire son erreur », explique Tom Scholtz. « Mais si les erreurs sont répétées et que des actions punitives sont nécessaires, elles doivent être strictement appliquées ».
Les collaborateurs choisissent en outre comment et quand ils utilisent l’information de manière autonome, et appliquent les principes de sécurité liés à leurs responsabilités et fondé sur leurs connaissances métiers et de sécurité.
Vient ensuite le principe de communauté, qui suppose que les individus ne prennent pas des décisions de manière isolée et qu’il incombe donc au management de garantir une culture positive de collaboration qui supporte les bonnes décisions.
Surtout, tout contrôle doit être proportionné aux risques. Mais dans le cadre d’une sécurité centrée sur l’utilisateur, le but est de miser plutôt sur les capacités de surveillance et de réaction lorsque c’est possible.
Enfin, la question de la transparence. Le comportement des utilisateurs est surveillé de près, mais chaque action punitive doit pouvoir être examinée, questionnée, afin d’éviter tout phénomène de « justiciers » dans une communauté où chacun est auditeur.
Tom Scholtz relève qu’en passant à la sécurité centrée sur l’utilisateur, un grand industriel a été capable de passer de 1 500 à 17 rôles dans un ERP, donc 5 rôles génériques et 12 exception requérant plus de confidentialité. « L’entreprise conduit un pilote avec 200 utilisateurs et rapporte que surveiller les exceptions est plus simple, et que les utilisateurs se sentent moins frustrés ».
En outre, cet industriel fait état « d’une sécurité améliorée, de moins de violations des règles de sécurité, et de faux-positifs en nombre réduit. Mais il est important de noter qu’il y a là une culture de confiance et un soutien clair de la direction ».
Simplifier les règles de sécurité
Une multinationale de l’énergie qui teste la sécurité centrée sur l’utilisateur a pu réduire le nombre de ses règles de sécurité obligatoires, de 43 à 8, mais a du investir dans de meilleures capacités de supervision.
Les employés préfèrent être surveillés et tenus responsables que recevoir des dictatsTom Scholtz, Gartner
« L’entreprise indique que les employés préfèrent être surveillés et tenus responsables que recevoir des dictats. Elle fait également état de discussions plus approfondies au sujet du risque, avec les équipes de sécurité IT et les utilisateurs, tous profitant de meilleures informations », explique Tom Scholtz.
Un constructeur international a également rapporté avoir réussi à réduire ses politiques de principes de sécurité à seulement six, le reste ayant été réécrit sous la forme de conseils de bonnes pratiques ou mis à disposition sous forme de service.
Le groupe fait par ailleurs état de décisions améliorées sur les risques, ainsi qu’une meilleure adoption des règles de sécurité. Auparavant, la plupart de ces règles étaient ignorées dans cette organisation hautement décentralisée.
Une contribution de valeur aux débats sur une meilleure approche de la sécurité
Selon Tom Sholtz, les mises en œuvre de la sécurité centrée sur l’utilisateur que suit Gartner montrent qu’il est possible de faire confiance aux individus, et de leur offrir l’accès à plus d’informations et de fonctionnalités pour soutenir l’activité. En tout cas plus que ne le veut un état d’esprit couramment répandu.
Et aussi
- Gartner : l’encapsulation et le confinement des applications, clés de la sécurité mobile
- Gartner : il faut appréhender la prévention des pertes de données comme un processus
- Cyber-sécurité: vues d'experts sur les menaces et solutions d'aujourd'hui
- Sécurité : le succès de la sensibilisation repose sur la psychologie
Mais il indique qu’il est important de reconnaître que la sécurité centrée sur l’utilisateur ne répond pas aux besoins de toutes les organisations en raison d’importants prérequis culturels. Sans compter un certain niveau de risque dans l’adoption de cette approche.
« Les principaux défis touchent à la culture de l’organisation et à la responsabilité légale », relève ainsi Tom Sholtz.
Dès lors, pour Gartner, la sécurité centrée sur l’utilisateur ne conviendrait directement qu’à environ 5 % des entreprises. Mais pour Tom Sholtz, elle apporte une contribution de valeur aux débats sur la recherche d’une meilleure approche de la sécurité : « le principe le plus important à appliquer ici consiste à faire de chaque collaborateur un agent de sécurité de l’information ».
Adapté de l’anglais.