Si vous avez été sensible à l’article de mon collègue Jean-Francois sur les experts “sécurité” qui s’évadent, voici peut-être un gisement à creuser pour combler les trous. En cherchant bien, vous vous apercevrez sans doute que votre société compte de nombreux plongeurs dans ses rangs. Sachez que cette population est déjà parfaitement sensibilisée aux questions structurantes de la sécurité IT sans le savoir.
argument 1 : le plongeur est déjà sensibilisé à la sécurité
Un plongeur est sensibilisé assez tôt à la sécurité car c'est un souci nécessaire et vital pour profiter de son loisir. Ainsi, le plongeur se voit enseigné très rapidement qu’il évolue dans un monde dangereux, voire cruel, et qu’il est nécessaire de maîtriser un certain nombre d’éléments pour éviter les incidents (accidents ?) :
- trop de lestage et on ne remonte plus
- pas de respect des consignes de sécurité regardant la consommation d'air et... plus d'air (gênant sous l'eau quand même)
- pas de respect des règles de sécurité à la remontée et voila des petites bulles d'azotes qui se promènent dans le corps et font des dégâts
- … (je ne vais pas faire la liste complète quand même !)
Le passage ci-dessus fonctionne plutôt bien puisque tout plongeur digne de ce nom souhaite remonter pour recommencer. On notera qu’un sujet ayant déjà bien accroché sur un « security awareness » n’en sera que plus facile à attraper lors du second, troisième, etc. Le terrain est prêt pour le faire basculer dans les questions de sécurité IT qui nous préoccupent
argument 2 : le plongeur a conscience des attaques potentielles
Le plongeur sait que le meilleur moyen de survivre à une attaque est encore d'éviter qu'elle se produise. En effet, ce n'est pas avec un petit couteau qu'une attaque de requin, ou autre bête dangereuse, sera repoussée.
Si un parallèle doit être fait, il est probable que le RSSI a parfaitement conscience que si une attaque est détectée, c’est qu’il est probablement déjà bien trop tard pour réagir. Le meilleur moyen pour assurer sa sécurité est donc de le faire en amont de façon proactive et rigoureuse.
argument 3 : le plongeur est un Homme de process
Autre qualité : la rigueur… un mot que le plongeur se doit de connaître. Les apparences sont trompeuses, on a trop tendance à croire que le plongeur est totalement détendu et fan absolu de l’apéro (qui favorise la narcose de l’après midi c’est bien connu). Et pourtant, même dans un état de faiblesse parfois douteux, les automatismes (c'est-à-dire réflexes acquis suite à de nombreuses mises en situation) prendront le dessus pour les plongeurs expérimentés. La checklist d’avant plongée sera déroulée et globalement tout se passera bien.
En effet, bien que détendu, le plongeur comprend la nécessité de respecter une procédure. Deux exemples simples :
- Je regarde le niveau d'air de ma bouteille avant de partir. Si je ne le fais pas, je prends le risque de ne pas pouvoir plonger (et c'était peut être LA plongée) et en plus de devoir payer (tous les centres ne sont pas sympathiques).
- J'ouvre ma bouteille moi même.
Contre exemple vécu : un bel hôtel, plein de gens pour vous accompagner sur le bateau et vous mettre la bouteille sur le dos, un début de plongée parfait quand tout à coup : plus d'air. Et oui, une bouteille entrouverte finie par jouer de mauvais tours.
Bref, la procédure, il n’y a que cela de vrai. Or cette dernière reste quand même l'un des éléments essentiels dans les métiers de la sécurité. Si un accident se produit et qu'il est couvert par une procédure bien faite, pas besoin de courir à droite à gauche. Tous les contacts sont là, les indications pour lancer la remise en état également.
argument 4 : le plongeur aime les choses efficaces
L'empilement d'équipements non utilisés n'améliore pas les choses, loin de là... c’est vrai en sécurité, c’est vrai en plongée. Tout équipement non utilisé est un poids mort qu’il faut porter (le plongeur est paresseux, il comprend vite ce type d’argument). Tout appliance non configurée et non suivie est inutile et représente une faiblesse dans le niveau de sécurité de l’entreprise (l’ingénieur est paresseux, il comprend vite ce type d’argument).
argument 5 : le plongeur a bonne mémoire
Le plongeur se doit de muscler sa mémoire pour reconnaître les différents types d’animaux qu’il rencontre - étape nécessaire pour sa sécurité (ca pique, ca mort, ca brûle, ca intoxique) comme pour sa fierté (Quoi ? Tu ne connais pas ce poisson ? Mais tu es un vrai b…). L’homme de la sécurité se doit de connaître les différentes familles d’attaques, comprendre des protocoles barbares, parler un langage inconnu pour le commun des mortels. Une arme essentielle pour y arriver ? Deviner ? Une bonne mémoire…
conclusion
Bref vous l’aurez compris, toute personne ayant déjà été sensibilisée aux questions de sécurité dans un domaine particulier aura donc probablement des facilités pour la sécurité IT (en tout cas, c’est mon opinion). Et cela pour une raison bien simple, à l’échelle d’une entreprise, la sécurité est un tout d’abord un processus. Ce n’est qu’en descendant de plus en plus dans les questions de sécurité que l’on finit par se retrouver dans des questions techniques pointues (qui demandent, je le reconnais, des compétences également pointues).
Cedric
crédit photo : © Dudarev Mikhail - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.