Cybersécurité : le Clusif remet l’humain au cœur du (télé)travail
IT téléphone maison
Le 09 novembre 2020 à 10h22
11 min
Société numérique
Société
À rebours des recommandations techniques qui ont fait florès depuis le premier confinement, le Club de la sécurité de l'information français (Clusif) revient sur la « dimension humaine majeure » de la cybersécurité, a fortiori en matière de télétravail. Il appelle les managers à être attentifs à la « surcharge mentale » de leurs collaborateurs.
Longtemps cantonnée à des « problèmes » d'ingénieurs informaticiens, la sécurité informatique est devenue, depuis Snowden, le RGPD puis le confinement un enjeu majeur dans les entreprises et administrations.
Et si l'on a coutume de dire que le problème se situe souvent entre la chaise et le clavier (PEBCAK), le Clusif, l'association de référence en matière de sécurité numérique, insiste a contrario sur le fait que les RSSI doivent avant tout protéger le bien-être de leurs collaborateurs.
Dans un « dossier technique » intitulé « Télétravail cybersécurité et collaborateurs : les nouveaux équilibres », le groupe de travail constitué en son sein explique s'être « volontairement concentré sur les aspects humains du télétravail et les nouveaux usages du numérique, en lien avec la cybersécurité », à rebours de ces « nombreuses publications [qui] ont fleuri, formulant des recommandations techniques pour renforcer la sécurité de l’outillage numérique ».
« Une publication (malheureusement) de saison qui remet l'humain au centre de la question », comme le résume sur Twitter Pierre Raufast, responsable du groupe de travail.
« Le reconfinement renforce cette certitude : le bien-être et la sécurité des collaborateurs ne se décrètent pas, ils se construisent », explique de son côté Rayna Stamboliyska, membre du groupe de travail. La « conviction partagée » des auteurs du document est en effet que dans ce nouvel environnement de télétravail lié au confinement, « plus que jamais, le collaborateur est l’acteur principal de la sécurité ».
« Les personnes stressées sont plus vulnérables au social engineering »
Pour le Clusif, le RSSI « est avant tout un gestionnaire du risque numérique », à qui incombent deux missions comportant une « dimension humaine majeure ». D'une part se concentrer sur la gestion de la sécurité opérationnelle et la gouvernance cyber de son organisation. D’autre part, défendre et protéger ses équipes et collaborateurs, et donc aussi s'enquérir du « bien-être des collaborateurs et des risques psychosociaux qui les rendent plus vulnérables ».
« L’absence de communication et de contact "physique" peut être anxiogène », souligne le rapport : « le changement de lieu et de rythme comme la charge mentale peuvent conduire à une augmentation du stress, à une situation d’épuisement et mener au burnout ».
Or, « les personnes fatiguées, inquiètes, stressées sont des cibles plus vulnérables pour le social engineering », alors que le nombre de cyberattaques a précisément augmenté sur fond de pandémie. Dès lors, le télétravail pourrait « entraîner une surcharge mentale et aggraver la vulnérabilité des salariés ».
« L’employé ne doit pas être considéré comme "la menace interne" »
En tout état de cause, « l’employé ne doit pas être considéré comme "la menace interne", mais plutôt comme un maillon essentiel de la sécurité. »
Le Clusif n'en relève pas moins que, et au-delà des questions de sécurité informatique, « la complexité des solutions et l’incompréhension ambiante autour des nouvelles technologies rendent les personnes plus vulnérables aux fake news », et donc également « générer une atteinte à la réputation de l’entreprise. »
Les managers devraient dès lors « être attentifs à la surcharge mentale, au stress ou à la détresse de leurs employés ». Des interactions avec différents DRH ont en effet « fait émerger la problématique de l’absence d’accompagnement psychologique pendant le confinement et depuis sa sortie ».
« Le risque de “flicage numérique” est réel »
Une responsable de la coordination des psychologues d’une société fournissant de l’accompagnement psychologique estime que « le risque de “flicage numérique” est réel. Quand on est dans le même lieu physique, on voit les gens et on se dit, à tort ou à raison d’ailleurs, que “c’est bon, ça bosse” » :
« Cependant, le télétravail fait émerger la méconnaissance de la façon de faire confiance dans un environnement décentralisé. Ainsi, cette situation génère un besoin de contrôle chez les personnes en situation de responsabilité ; l’outillage numérique peut facilement glisser dans un détournement du genre.
Cette tendance est d’autant plus inquiétante que la formation des personnes investies de la mission RH est insuffisante : ces personnes sont donc rarement en capacité d’intervenir pour placer des limites de ce qui doit/peut être fait. Cette observation n’est pas nouvelle, on le voit notamment dans les situations où du harcèlement moral ou sexuel leur est rapporté. »
L’entreprise devrait dès lors prendre en compte les risques psychosociaux liés à ce changement de rythme : « combien de sociétés ont-elles mis en place des hotlines pour la prévention des risques psychosociaux ? Quel est l’équivalent de la médecine du travail en télétravail ? Comment la contacter ? »
« Le RSSI n’a pas vocation à supplanter le responsable des RH »
Le RSSI peut lui-même être sujet aux mêmes risques psychosociaux que n’importe quel autre collaborateur. Or, et dans un contexte de télétravail généralisé – et donc de menaces accrues – « le RSSI se trouve souvent seul, à la confluence d’enjeux métiers, humains et techniques », ce qui accentue le stress et les responsabilités qui pèsent sur ses épaules, dans un contexte où sa mission est déjà qualifiée habituellement de « stressante ».
Le télétravail demande dès lors « davantage d’aptitudes managériales telles que l’écoute, la captation de signaux faibles, la bienveillance (prise en compte du contexte de chacun) » et ce, « dans les deux sens : vers ses collaborateurs et la hiérarchie. »
Pour autant, si le télétravail ne devrait pas changer « les missions fondamentales du RSSI (protéger/défendre) », le Clusif insiste sur le fait qu'« il ne devrait pas se laisser déborder par des demandes de contrôle d’activité qui outrepasseraient ses prérogatives. »
Au surplus, rappelle le Clusif, « un responsable de sécurité n’a pas vocation à supplanter un responsable des ressources humaines. Ceci est valable aussi bien au niveau encadrement d’équipes que contrôle de l’activité des collaborateurs. »
« La SSI ne doit pas se transformer en "police" au service des managers »
« Le responsable de la sécurité des systèmes d'information (RSSI) risque-t-il de devenir le gendarme, garant de l’efficacité du télétravail ? », interroge d'autre part le rapport. Pour ses auteurs, « la confiance est un ingrédient indispensable afin que le RSSI ne se transforme pas en "police" des managers ou des RH ».
Ils insistent également sur le fait qu'il ne devienne pas non plus un « instrument de collecte des "preuves" du travail effectif (enregistrement des horaires de connexion, des volumes de surf à usage personnel, de l’activité sur le réseau, etc.). »
Au-delà des problèmes de connectivité sécurisée, le respect de la qualité de vie des salariés devrait dès lors devenir une « mission de sécurité SI », recommande le Clusif, ce qui « peut représenter un coût non négligeable à provisionner ». Non content de devoir « communiquer sur le bien-être en télétravail », l'entreprise devrait en effet mettre à disposition le matériel nécessaire à la mission (déménagement du matériel ou achat en double) « lorsque la situation l’exige ».
De plus, et « pour les VIP, la sécurisation du domicile est une question clé. Il est plus difficile en effet de piéger un bureau qu’un domicile (micro, caméra, vol) et de détecter la présence d’un système d’espionnage (dépoussiérage, surveillance). »
Le leadership à la française est plus hiérarchique qu’égalitaire
Les bonnes intentions du Clusif pourraient cela dit faire les frais d'un certain nombre de travers bien français. « Télétravail en France : a-t-on fait l’autruche pour éviter de faire confiance ? » déplorait ainsi récemment Laetitia Vitaud, rédactrice en chef de la plateforme de recrutement Welcome to the jungle.
Cherchant à comprendre pourquoi le télétravail avait davantage reculé en France que chez nos voisins européens pendant l’été et en septembre, elle recense plusieurs explications culturelles à ce « présentéisme », qui ne sont pas toutes négatives. Le rôle des repas dans la vie professionnelle serait ainsi plus grand en France que dans d'autres pays :
« Entre collègues et partenaires de travail, la confiance à la française est plus "affective" que "cognitive", c’est-à-dire qu’elle dépend des sentiments de proximité affective que l’on construit autour de moments partagés (dont les repas). À l’inverse, les Néerlandais.e.s, par exemple, développent plutôt une confiance "cognitive" autour des tâches (du travail en lui-même). »
« Hélas, renchérit-elle, certaines explications sont plus négatives. Il s’agit tout simplement d’un manque de confiance de la part des entreprises vis-à-vis des salarié.e.s. » Il existerait à propos du télétravail un « écart surprenant » entre la perception qu'en ont salariés – qui en voudraient plus – et managers – qui « en voudraient (beaucoup) moins ».
De plus, le leadership à la française serait plus hiérarchique (« on ne va contacter son n+2 sans l’aval de son n+1 ») qu’égalitaire, à la différence de pays comme le Danemark ou les Pays-Bas).
Or, et comme l’écrit de son côté Xavier de Mazenod de Zevillage, « le télétravail est un extraordinaire révélateur du degré de confiance accordé par les managers à leurs collaborateurs [...] beaucoup de dirigeants et de managers ont conservé cette conviction qu’on ne travaille bien qu’au bureau [...] Cela commence avec la pointeuse qui lie le temps de présence sur le lieu de travail au paiement du salaire. »
72 % des Français se méfient des autres
Ce qui expliquerait, estime Laetitia Vitaud, « l’extraordinaire augmentation des "solutions" de contrôle des salarié.e.s à distance : captures d’écran, surveillance de la navigation, réunions Zoom en continu… ».
Elle relève ainsi qu'il y a déjà plus de dix ans, les chercheurs Yann Algan et Pierre Cahuc avaient publié un livre intitulé « La société de la défiance : Comment le modèle social français s’autodétruit », qui révélait notamment, faisant référence à une étude intitulée World Values Survey (mise à jour chaque année), que les Français sont moins nombreux que les autres à déclarer faire confiance aux autres : « sur les 26 pays les plus riches de la planète, la France se trouve en 24ème position. »
En 2012, les deux chercheurs publiaient un nouvel ouvrage intitulé La Fabrique de la défiance expliquant que la hausse des niveaux de vie ne s’est pas accompagnée d’une hausse importante du bien-être parce que « la défiance est au coeur de notre mal et détruit notre lien social ».
L’école française resterait un « archétype de l’enseignement vertical », et nous serions « les champions de l’absence de travail en groupe », ce pourquoi l’univers professionnel français serait « hiérarchisé à l’extrême ».
En sélectionnant 20 des pays les plus riches de la planète, les chiffres mis à jour (cf le fichier .xls) révèle que les Français seraient certes désormais passés de 21 à 26 % à faire confiance dans « la majeure partie des gens », mais également que la France figure toujours en bas du tableau.
Plus de 72 % estiment encore qu'« il faut être prudent », contre seulement 27 % des Norvégiens, 30 % des Finlandais, 36 % des Suédois et des Néerlandais, 52,5 % des Allemands et 59 % des Britanniques [pour que le graphique soit plus lisible, le nombre de personnes ne se prononçant pas a été volontairement écarté, ndlr].
Cybersécurité : le Clusif remet l’humain au cœur du (télé)travail
-
« Les personnes stressées sont plus vulnérables au social engineering »
-
« L’employé ne doit pas être considéré comme "la menace interne" »
-
« Le risque de “flicage numérique” est réel »
-
« Le RSSI n’a pas vocation à supplanter le responsable des RH »
-
« La SSI ne doit pas se transformer en "police" au service des managers »
-
Le leadership à la française est plus hiérarchique qu’égalitaire
-
72 % des Français se méfient des autres
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/11/2020 à 14h11
Ce problème de confiance et de marquage à la culotte, mais c’est tellement ce que je ressens (et dénonce au boulot) !
Et ce, dès les “procédures”.
ex : on n’a pas de pointeuse sur site, mais en télétravail on doit faire un mail avec nos horaires…
En fait, c’est même pire, mais (heureusement !) on ne l’applique pas:
-la veille on est censé envoyer un mail avec les tâches qu’on fera le lendemain
-on est censé envoyer un mail quand on commence à travailler
-on est censé envoyer un mail en fin de journée avec nos horaires et nos tâches effectuées
Le 09/11/2020 à 15h35
Je compatis.
Un chef qui a besoin de demander ça, c’est qu’il n’est vraiment pas capable de se rendre compte si son équipe travaille “normalement” (en plus d’avoir un manque de confiance assez impressionnant).
J’ai remarqué que les DRH sont souvent comme ça (manque de confiance a priori dans le salarié), et j’ai tendance à penser que c’est pas mal eux qui freinent le télétravail.
Le 09/11/2020 à 18h04
De ce que je vois, pour avoir aussi une hiérarchie très verticale et totalement réfractaire au télétravail, les chefs ne savent absolument pas évaluer ce que l’on fait concrètement dans les domaines techniques, ce sont surtout des gestionnaires de budgets et d’heures.
Le 09/11/2020 à 17h58
Merci pour l’article, les risques psycho-sociaux étant souvent les grands oubliés quand on met en place le télétravail.
Le 09/11/2020 à 19h10
Pquoi ca ne m’étonne même pas…?
A ce que j’ai vu, souvent ce sont des chefaillons qui freinent des 4 fers. Parce qu’ils ne pourraient plus surveiller de près ce que les autres font…
Le 09/11/2020 à 21h34
Oui, puis ces managers intermédiaires découvrent tout d’un coup qu’ils ne servent pas à grand chose dans la chaine de production, entre ceux qui bossent effectivement, et ceux qui prennent les décisions politiques et valident.
Le 10/11/2020 à 05h44
Ils servent à remplacer le syndicaliste par “anticipation”. C’est une manière de fabriquer un contre-pouvoir factice…
Le 10/11/2020 à 07h49
Exactement, ce sont eux qui ont le plus à perdre lorsque l’on constate l’efficacité du télétravail sans petits chefs
Le 10/11/2020 à 08h20
je pense que c’est surtout ça !!!
≠ inutile
Le 09/11/2020 à 20h53
Alors qu’on peut beaucoup plus facilement “buller” au bureau qu’en télétravail… je dis ça je dit rien j’ai simplement des exemples autour de moi au boulot…
Le 10/11/2020 à 10h33
Mon chef était rétif au télétravail généralisé et ne l’acceptait qu’en cas de force majeure (grève par exemple).
Et puis sa fille est née… Et il a pu se rendre compte que depuis chez lui, il pouvait surveiller sa fille, s’en occuper et bosser plus et mieux, parce que pas dérangé en permanence. Il s’est rendu compte que même en week-end chez ses parents il pouvait se connecter sur les serveurs de la boite parce que soudain sur la plage, il avait l’illumination qui resolvait un problème…
Du coup il est devenu, plus cool sur le télétrvail, mais pas complétement.
Et est arrivé ce que vous savez… Le PDG a dit, télétravail pour tout le monde sauf exception duement argumentée. Et la le chef n’a pu qu’entériner… depuis le télé travail est presque la règle et on prends soins les uns des autres via des outils ou un simple coup de fil.