L’homme, le maillon le plus faible dans la sécurité de l’information dans les administrations locales

Les atteintes à la sécurité de l’information dans les administrations locales sont généralement causées par des personnes et non pas par des erreurs techniques. Le recours à la protection IT et aux consultants en sécurité ne suffit pas.

Voilà ce qu’affirme SOCITM, une organisation internationale en matière d’IT publique et, de ce fait, le pendant de V-ICT-OR, l’association pour tous ceux qui s’occupent d’ICT et de gestion de l’information au sein des pouvoirs publics locaux flamands. Les deux organisations prétendent qu’il existe aujourd’hui une prise de conscience des failles techniques. C’est ainsi qu’on recrute souvent un consultant en sécurisation de l’information et que l’on mise sur la sécurité numérique.

A côté de cela, il y a hélas une prise de conscience nettement moindre du comportement humain et de la prévention des intrusions physiques. Il est question ici de publication fautive de données, de perte physique d’appareils de stockage, d’erreurs dans le traitement des courriels et des fax ou d’envoi de documents à de mauvaises adresses.

Par souci de clarté, V-ICT-OR ne s’oppose ni à l’engagement de consultants en sécurité ni à l’application de principes de base pour la protection de l’information, indique l’organisation elle-même. Mais il convient d’élargir les objectifs et de ne certainement pas se limiter à du personnel qui ne s’occupe que d’informatique ou de sécurité IT.

Avant tout, V-ICT-OR et SOCITM citent cinq points prioritaires destinés à aider les administrations locales à éviter les erreurs humaines en matière de gestion de l’information:

• Conscientisation du personnel à propos des données susceptibles d’être partagées.
• Sens du devoir: traiter avec circonspection l’information dont on a besoin, et y apporter des corrections si nécessaire.
• Classification des données: veiller à ce que l’information reçue soit correctement rangée, afin qu’elle ne soit accessible qu’aux personnes habilitées.
• Protection: directives univoques et claires dans toute l’organisation en matière de protection contre les menaces à la sécurité de l’information.
• Contrôle: mettre en oeuvre une cellule de sécurité de l’information capable de surveiller la protection de l’information, conjointement avec un consultant en sécurité.