Le cas : les processus sont plus importants que les résultats
Dans mon premier emploi en tant qu’informaticien, j’avais une bonne idée, où la sécurité des données constituait une partie importante de la proposition. J’ai donc présenté mon idée à un collègue senior responsable de la sécurité des serveurs et des bases de données. Sa réponse était simple et reste toujours aussi vraie aujourd’hui :
“Si vous voulez protéger une base de données, vous devez stocker le moins de données possible, n’autoriser que des données inintéressantes et ne permettre aucun utilisateur.”
Voici un bel exemple de la GGD, il y a quelques semaines.
Pour l’autorisation des utilisateurs, il existe désormais de nombreuses possibilités pour rendre l’accès assez sécurisé. Heureusement, car sans utilisateurs, notre logiciel ne sert pas à grand-chose. Chez Payt, nous discutons chaque semaine de nouvelles fonctionnalités qui apportent beaucoup de confort aux utilisateurs, mais qui exigent une concession à la protection des données. Nos données sont (malheureusement) suffisamment intéressantes pour avoir beaucoup de valeur, c’est pourquoi nous sommes certifiés ISO27001. Cela signifie que nous respectons la norme internationale pour le Système de Gestion de la Sécurité de l’Information (SGSI). J’aimerais décrire un exemple de ce que cela peut entraîner au sein de l’entreprise.
Nous n’étions que 20 employés lorsque nous avons obtenu le certificat. Nous avions beaucoup préparé et rédigé une politique de sécurité bien pensée. En moins d’un an, quelqu’un chez Payt a eu l’idée que ce document de politique ne devait pas seulement être connu des décideurs, mais aussi de tous les autres employés. Et le mieux était de le faire signer par tout le monde. Pour cela, nous avons estimé qu’un texte général sur la confidentialité dans le contrat de travail suffisait. Peu de temps après, une liste détaillée de tout le matériel, logiciel et processus pour chaque nouvel employé a été établie (une liste d’accueil). Depuis un an, une personne est maintenant responsable de la visibilité de tous les accès. La liste d’accueil a été remplacée par une matrice d’autorisation détaillée. Pour faciliter un peu le processus d’accès sécurisé, nous avons un canal access_request sur Slack. Ça sonne bien, non ?
Pour un nouveau collègue, j’avais demandé l’accès dans le canal access_request. Je voulais l’impressionner par notre rapidité d’action afin qu’elle puisse démarrer rapidement. Après une semaine, il n’y avait toujours pas d’accès. En me renseignant, j’ai appris qu’un développeur avait décidé de ne pas accorder cet accès, car la nouvelle collègue n’avait pas encore signé la politique de sécurité. Et peu de temps après, j’ai reçu une réprimande parce que je n’avais pas encore rempli la matrice d’autorisation.
Il est beaucoup plus difficile de travailler de manière axée sur les résultats que de manière axée sur les processus. Un processus écrit peut simplement être suivi. Et si vous le suivez bien, vous n’êtes jamais en faute.
