Naturellement, votre employeur ne se limite pas à s’assurer de vos compétences et de la confiance qu’il vous accordera au moment de vous engager. Il poursuivra ses efforts afin d’améliorer vos connaissances et capacités.
C’est l’objet du second objectif de contrôle du chapitre 7 de la norme ISO 27002 de 2013.
Le but des contrôles est de s’assurer que vous êtes bien conscient de vos responsabilités en matière de sécurité de l’information et que vous les assumez complètement.
Les contrôles ci-dessous s’adressent particulièrement aux employés, mais les contractants sont aussi impliqués au travers des clauses contractuelles que nous verrons au chapitre 15.
Les règles
Votre employeur vous a présenté dès l’engagement – ou annexée au contrat – sa politique de sécurité de l’information.
Vous vous apercevrez vite que ce n’est qu’un début – ce devrait l’être. Car votre activité spécifique requiert sans doute des règles particulières, des procédures, des protocoles.
Vous serez donc lié, au travers du Règlement de Travail et de ses annexes, par des Chartes de Conduite, de sécurité ou informatique, ou par des directives précises.
Ces documents spécifient ce qu’on attend de vous – ce qu’il faut faire et comment il faut le faire – en matière de sécurité de l’information.
L’employeur mettra donc ces documents à votre disposition et vous incitera à les appliquer.
Il est de bon ton que la direction respecte elle-même ces règles, même si ce n’est pas toujours le cas: « C’est mon entreprise et je fais ce que je veux. » Elle ne se rend pas toujours compte qu’en agissant ainsi, elle scie la branche sur laquelle vous êtes tous confortablement assis.
La sensibilisation et la formation
L’employeur s’assurera que vous avez bien lu les directives et les règles, et que vous les comprenez. Il s’assurera également que vous restez sensibilisé aux problèmes de sécurité, conscient des risques encourus par tous en cas de défaillance, compétent pour atteindre les objectifs visés et capable d’agir comme demandé.
La direction mettra donc en place un programme de sensibilisation à la sécurité. Malheureusement, cela ressemble souvent à la présentation des règles de sécurité avant le décollage d’un avion et cela s’arrête là.
Il y a des règles sur lesquelles il faut revenir souvent pour s’assurer que tout est bien compris et appliqué. Il y a des règles qui vont changer tout au long de votre contrat parce que tout bouge. Il y aura toujours des incidents (voir chapitre 16). Il y aura même de nouvelles règles et il faut que vous les sachiez pour que les incidents se produisent moins souvent et aient des impacts moindres.
Parfois votre rôle implique des activités de sécurité particulières et il faudra vous former à les réaliser correctement. Parfois aussi, un changement de fonction peut vous donner de nouvelles responsabilités en matière de sécurité et il sera utile de vous faire suivre une formation spéciale dans un établissement spécialisé.
Information, sensibilisation, conscientisation, formation et éducation sont les 5 étapes à prévoir. Et il faudra évaluer aussi bien à la fin de la session qu’après quelques mois que vous avez retenu et compris le message que l’on voulait vous faire passer.
Le processus disciplinaire
Immanquablement, si vous ne suivez pas les règles vous aurez des problèmes. Tout autant que si vous volez ou harcelez vos collègues.
Car la sécurité de l’information, surtout celle qui a de la valeur pour l’entreprise ou les personnes qu’elles concernent (Vie Privée), est plus souvent critique à la survie d’une entreprise que ce que l’on croit.
Les sanctions qui suivent un comportement ou une action inadéquat ne peuvent pas être « à la tête du client » ou « selon les circonstances ». Les règles sont normalement inscrites au Règlement de Travail ou dans un autre texte, auquel les syndicats ont participé. Cela peut aller de la remontrance au renvoi et aux éventuelles poursuites judiciaires, en passant par les sanctions financières ou les changements de fonction.
La norme, dans sa nouvelle version, fait écho de sanctions ‘positives’. En ce sens qu’il est fort utile de récompenser les comportements exemplaires en matière de sécurité. Les commerciaux qui ont dépassé leurs objectifs ne sont-ils pas récompensés ? C’est la même idée qui est proposée.
Le but final est que le niveau de sécurité s’améliore globalement et individuellement.
Ces différents contrôles sont-ils présents dans votre entreprise ? Avez-vous compris leur raison et leur portée ?
Vous avez le droit de reporter vers la direction ou le responsable de sécurité s’il existe, vos inquiétudes. C’est aussi à cela que sert cette série d’articles.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+