« Plus de la moitié des cadres supérieurs (59 % en France, 62% au global, dans le monde) admettent qu’une mauvaise communication avec le département ou l’équipe de sécurité informatique a été la cause d’au moins un incident de cybersécurité dans leur organisation », relève UnderNews.
Une enquête effectuée par Kaspersky auprès de plus de 1 300 chefs d’entreprise souligne en effet que « 98 % (en France comme au global) des répondants n’occupant pas de postes informatiques ont été confrontés à des problèmes de communication concernant la sécurité des systèmes numériques ».
Or, « une rupture de communication entraîne d’importants retards dans les projets (67 %, jusqu’à 73 % en France et même 81 % aux États-Unis !) et des incidents de cybersécurité (62 %, 59 % en France) » :
« Près d’un tiers des répondants ont même déclaré avoir été confrontés à ces problèmes plus d’une fois. Parmi les autres conséquences négatives, on trouve aussi les dépenses inutiles, la perte d’un collaborateur précieux ou encore la détérioration des relations entre les équipes, des situations auxquelles 61% des répondants disent avoir été confrontés. »
Non content de nuire aux indicateurs d’activité de l’entreprise, ces problèmes de communication avec les employés chargés de la sécurité informatique peuvent également « miner le moral de l’équipe IT », et amener les dirigeants à « remettre en question les compétences et les capacités des employés qui la composent ».
Commentaires (8)
En effet, j’ai constaté que dans beaucoup de cas, les IT ne sont pas des pros de la com.
Dans certaines boîtes, on se demande également si ces gens sont au service de l’entreprise ou si s’est l’inverse.
Mon ressenti perso qui n’engage que moi est que le service IT constitue souvent un gros frein pour la performance de l’entreprise. Personne ne veut les comprendre mais ils ne veulent pas comprendre non plus les problèmes des utilisateurs et sont dogmatiques. Peut-être qu’en apprenant à aller vers les autres, ils pourront commencer à travailler de concert avec les utilisateurs, comme le font les divers autres métiers entre eux.
Quand la seule réponse que l’on obtient souvent est qu’il va falloir faire sans, personne n’a de temps pour les aider quand des tentatives de hameçonnage sont reçues. C’est donnant-donnant.
Pour avoir fait quelques groupes dans l’industrie, c’est très exactement ce qui se passe, avec une totale ignorance par les DSI “classique” des process et contraintes de production industrielle.
Dans le meilleur des cas, il est mis en place une DSI “industrielle” ayant des délégations et régimes d’exceptions encadrés pour pouvoir répondre aux besoins industriels. Dans le pire, soit c’est du shadow IT à l’arrache avec tous les risques associés, soit c’est un fonctionnement version années 80 sans informatique ou presque.
On a même vu un IT qui nous a fait un “en même temps” de la com sur des projets usine 4.0 et une mise hors réseau des moyens de production pour des raisons de “sécurité” …
“comme le font les divers autres métiers entre eux.”
Les divers autres métiers ne se comprennent pas plus qu’avec la partie informatique.
“Quand la seule réponse que l’on obtient souvent est qu’il va falloir faire sans, personne n’a de temps pour les aider quand des tentatives de hameçonnage sont reçues. C’est donnant-donnant.”
Il y a un gros problème là dans vos dire : vous inversez le problème.
Imaginez que vous soyez commercial, vous prenez un ransomware et vous vous faites siphonné des données.
Vos devis, vos prix, les données de vos clients se retrouvent dans la nature, vos clients sont au courant, certains portent plainte pour négligence, et vous avez une impact sur votre image. Vous avez perdu les informations de vos prospect et des projets client en cours, vous passez à côté de plusieurs contrats. Vous êtes passé pour un c** car vous n’avez pas pu fournir un document à un client qui vient d’acheter : il est cryptolocké.
Qui est impacté sur son métier ? Pas l’informaticien, lui se retrouve avec plus de travail, et enfin vous lui voyez une valeur ajoutée. Si vous fermez boutique, lui repartira avec une expérience en plus, qu’il soit dans votre équipe ou non.
Si vous voulez je peux vous refaire l’histoire si vous êtes comptable, drh, juriste, agent/chef/directeur de production, manager, marketing, directeur, sdm, adv, standardiste, R&D… Par contre je peux vous dire tout de suite : ce que je viens de raconter ce n’est pas un conte, c’est ce qui se passe tous les jours.
Quand votre IT vous répond pour une demande d’un outil, ou quand ils vous demandent de suivre des consignes de sécurité, dans les deux cas c’est lui qui vient vous aider, quelque soit sa réponse. Vous ne lui rendez pas service : vous vous rendez service en le consultant.
Quand un informaticien vous dit “non”, je vous prie de croire qu’il y a de bonne raisons derrière. Il serait peut être bon d’utiliser votre “savoir-être”, puisqu’à priori eux n’en ont pas, pour décortiquer le problème lorsque vous souhaitez résoudre dans votre activité métier par un outil informatique.
Je connais beaucoup d’informaticiens dont les compétences de savoir-être sont plus faibles que dans d’autres métiers, c’est vrai. Mais par contre je n’en connais aucun qui n’aide pas quand c’est possible pour eux d’aider. Et ce trait de vouloir aider, c’est un naturel chez eux qui est bien plus prononcé que dans plusieurs autres corps de métier pour le coup.
C’est parfois même un problème, à trop vouloir aider certains rentrent dans de la bidouille qui ne convient absolument pas à s’inscrire dans des process résilients.
Si vous comptez encore utiliser votre ordinateur pour votre métier, il serait bien pour vous d’inverser cette pensée sur le “frein”, car vous allez au devant d’autres problèmes si vous n’arrivez plus à parler à votre assistance informatique quelque soit sa forme.
Vous ne vous rendez pas compte de ce que vous dites quand vous considérez vos collègues/partenaires comme un frein, en tout cas vous lire parler de donnant-donnant après ça c’est l’hôpital qui se fout de la charité.
Mais ne vous inquiétez pas, quand vous serez à l’arrêt pour cause de piratage, il y aura encore un informaticien présent pour vous aider à repartir.
C’est pas compliqué car le message sur la sécurité informatique est passé et repassé, “l’incompréhension” je l’ai entendue encore et encore. A force ce que j’en pense ça devient : c’est utile ça permet de se couvrir. La grande majorité des organisations qui se retrouve piratées ont des manquements et ont considéré qu’ils prenaient le risque en se bouchant les oreilles, c’est quasi systématique.
Belle illustration du propos de la brève, qui d’ailleurs ne parle pas de savoir-être mais de savoir communiquer.
Le paragraphe sur le ransomware est justement ce qu’il faut faire et ce qui manque probablement souvent, en étant encore plus concret si possible sur les coûts induits.
Par contre, dire que l’informaticien sait ce qu’il fait quand il dit non, c’est justement ce qu’il ne faut pas faire.
Le dernier paragraphe prouve aussi le problème de communication : non, le message sur la sécurité informatique n’est pas passé. Il a été envoyé mais n’a pas été reçu.
Les managers sont globalement bons en tant que décideurs (comme les informaticiens dans leur domaine). Donc, s’ils ne prennent pas les “bonnes décisions” sur la sécurité informatique, ce n’est pas parce qu’ils sont mauvais, c’est parce que l’on ne leur a pas passé le message comme il faut.
En fait, il y a probablement des améliorations à apporter de chaque côté.
“Par contre, dire que l’informaticien sait ce qu’il fait quand il dit non, c’est justement ce qu’il ne faut pas faire.”
Si si, il sait ce qu’il fait quand il dit “non”, il sait aussi qu’il ne doit pas le dire. Ce que j’aimerais vous faire comprendre c’est que si vous tombez sur un “non”, il y a une bonne chance que vous ne fassiez pas d’effort dans votre demande. Faites comprendre que vous avez besoin de “X” pour votre activité, posez vous autour de la table, vous allez obtenir ce que vous vouliez. Cela demande juste de travailler un peu.
“qui d’ailleurs ne parle pas de savoir-être mais de savoir communiquer.”
Est ce que tu veux qu’on débatte sur le fait que la communication est une compétence de la catégorie savoir-être, ou pas ?
“Les managers sont globalement bons en tant que décideurs (comme les informaticiens dans leur domaine).”
En théorie je suis d’accord avec vous. Le retour d’expérience il est par contre très simple : les entreprises qui se font trouées, ceux sont celles que la sécurité informatique “fait chier”, ou “c’est pas mon problème”. Des professionnels qui n’ont pas donné une seconde d’attention à un problème parce que “j’ai autre chose à faire”, “on verra bien”, “j’ai pas le budget et à vrai dire ça m’intéresse pas de le mettre au suivant”
C’est pas toujours l’extase entre métiers mais, globalement, entre opérationnels on est bien obligé d’admettre que l’on a besoin les uns des autres et qu’aucun service ne peut prétendre être à lui seul le plus important dans l’entreprise. C’est ça le principe en théorie, on doit faire des efforts pour servir un but commun. Quand un service prend trop le lead, c’est la cata, peu importe le service considéré.
Les services informatiques en revanche n’ont besoin de personne et n’ont donc parfois rien à foutre de nos besoins ou pas envie de se faire chier à nous proposer des solutions viables. C’est mon constat, point barre.
Tu remarquera que j’ai précisé qu’il s’agit d’un ressenti personnel et non d’une situation établie sur 100 % du territoire.
Si tu es à l’écoute des besoins des autres service et que tu es en mesure de les accompagner dans l’établissement de leurs solutions, c’est parfait.
Quand au discours sur les trucs qu’on leur impose, je peux témoigner que tous ceux qui on fini par les mettre sur le fait accomplis ont tous au préalable cherché un conseil et étaient prêts à les écouter. Je ne suis donc plus très sensible aux discours “bouh, on nous écoute jamais, on est trop incompris”.
Je ne doute pas une seconde qu’il y a un problème de communication du côté des DSI / IT ahah. De l’autre côté, beaucoup ont tendance à confondre « j’ai rien compris » et « sa réponse ne me convient pas ».
Quand il y a un « refus » (plus détaillé qu’un simple « Non », évidemment, il faut toujours expliquer pourquoi, quelles alternatives sont envisageables si ce n’est pas le besoin lui-même qui est aberrant, etc), beaucoup considèrent que l’IT ne fais que les gêner, alors qu’ils essayent de protéger.
Du coup d’une part on a ptêt du mal à le faire comprendre, mais de l’autre part, faut pas oublier que certains font la sourde oreille tant qu’on ne dit pas oui, et se plaignent après de pas avoir reçu l’info ensuite…
EDIT : Et en vrai, je doute que ce soit spécifique à l’IT. Je pense que c’est le cas pour tous les métiers qui demandent d’appliquer des règles de sécurité et des normes de qualité. « Trop cher, pas le temps, pas notre problème. » Jusqu’au jour où paf, le problème (ou paf, l’amende, même si dans l’informatique le problème arrive généralement avant l’amende, hélas…).
De mon vécu, il y a aussi un problème de gradation des solutions IT, dans le pire cas que j’ai rencontré, tout devait passer par la mise en place d’un projet (avec CdP interne pour l’administratif + CdP presta pour le pilotage technique + équipe presta), avec toute la pile specs, architecture, tests unitaires, tests d’ensemble, documentation anglais + français, TMA, …
Coût mini : 150 k€. Autant dire que pour tous les “petits” besoins facilitant la vie de la prod, c’était non pour cause de non-rentabilité. On avait un besoin simple pour éviter des écritures manuelles : sur un poste, un lecteur code-barres pour lire un numéro, et des imprimantes à étiquettes qui reprennent le texte lu avec des ajouts fixes. Ca c’est fini avec une macro Excel instable…