Il y a environ trois mois que nous avons publié l’Avis de mise en œuvre de la politique (AMOP) sur la Politique sur l’utilisation acceptable des dispositifs et des réseaux (PANDU), alors je me suis dit que le moment serait bien choisi pour faire le point sur la façon dont cet exercice se déroule à l’échelle du gouvernement du Canada (GC).
Dans l’ensemble, je dois dire que l’AMOP a été bien reçu. Je n’ai pas été étonné que les utilisateurs finaux l’aient bien accueilli, mais j’ai été agréablement surpris par le nombre de praticiens de la sécurité qui l’ont accepté rapidement. Je reconnais pleinement qu’il s’agit d’un virage important pour les pratiques de filtrage sur le Web, passant d’une attitude « de prévention » à une « de surveillance/détection », mais je suis encouragé par les progrès réalisés à ce jour.
Progrès de la mise en œuvre
Bien sûr, cela ne veut pas dire que tous les ministères du GC ont pleinement mis en œuvre cette orientation. Bien que nous ayons des ministères très progressistes (comme Services publics et Approvisionnement Canada, Transports Canada et le Conseil de recherches en sciences naturelles et en génie du Canada) qui ont déjà adopté l’orientation grâce à des programmes de sensibilisation et à des outils de surveillance bien établis, d’autres travaillent encore à l’atteinte de cet objectif. L’aspect positif est que la grande majorité des ministères ont ouvert l’accès complet aux sites de médias sociaux (p. ex., Facebook, Twitter, LinkedIn), ce qui constitue une excellente première étape pour encourager une plus grande participation du public. Lorsqu’il s’agit de sites de collaboration (p. ex., Google Docs, Trello, Slack - des sites qui sont si importants dans nos efforts de collaboration à l’extérieur du gouvernement fédéral), les progrès ne sont pas aussi universels. Même si une bonne partie des ministères ont donné un accès complet à ces sites, il y en a encore qui hésitent, citant souvent comme motif de blocage le « risque accru de perte de données».
Gérer le risque
Je ne peux certainement pas nier qu’il existe un risque qu’un utilisateur affiche accidentellement quelque chose de sensible sur l’un de ces sites. Mais, comme je l’ai mentionné sur mon billet de blogue précédent, ce risque existera toujours quand on est connecté à Internet. Bloquer une poignée de sites de collaboration authentiques ne change rien à cela et, en fait, ne fait qu’encourager les utilisateurs à trouver leurs propres solutions, ce qui présente un risque encore plus grand.
Bien sûr, certains ministères ont des profils de risque plus élevés que d’autres, et c’est tout à fait compréhensible. Quelques-uns devront peut-être améliorer leurs outils de surveillance ou de prévention de la perte de données avant d’ouvrir ces sites. D’autres ont élaboré des programmes adaptés d’orientation et de sensibilisation et formation pour leurs employés afin de veiller à ce qu’ils sachent comment utiliser les outils correctement. Un investissement accru dans les personnes, les processus et la technologie pour permettre une expérience plus conviviale est toujours une bonne chose. Finalement, l’objectif de la sécurité est de permettre à l’organisation de fonctionner; si l’organisation a besoin de collaborer à l’extérieur, alors c’est notre travail d’investir et de permettre que cette activité se déroule de façon sécuritaire.
Changer la culture
Nous n’avons pas tout à fait terminé avec la mise en œuvre de l’AMOP à l’échelle du gouvernement, mais nous continuerons de travailler avec les ministères pour apporter conseils et orientation afin qu’ils y parviennent. L’une des choses que l’AMOP a certainement permis de réaliser dans tous les ministères, c’est de favoriser la conversation, et cela contribue grandement à changer la culture de la sécurité au GC pour qu’elle soit davantage axée sur les utilisateurs. Le fait d’adopter une attitude d’ouverture par défaut dès le début et d’expliquer les raisons motivant le blocage (au lieu de bloquer par défaut et de justifier l’ouverture), crée un environnement qui encourage une analyse plus axée sur le risque, ce qui devrait être le but véritable de la sécurité. En fin de compte, les praticiens de la sécurité doivent se rappeler que les utilisateurs ne viennent pas travailler dans le but premier de contourner la sécurité et, de même, les utilisateurs doivent se rappeler que les praticiens de la sécurité ne viennent pas travailler dans le but premier de tout fermer. Les deux essaient simplement de faire leur travail.
Dans le cas de cet AMOP particulier, plus vite nous pourrons favoriser le dialogue entre les deux parties, plus vite nous pourrons établir des relations et une collaboration plus efficaces entre les partenaires nationaux et internationaux. Si nous voulons vraiment devenir des chefs de file mondiaux du numérique, c’est une première étape importante.
Ajouter un commentaire