Professeur à l'Université de Genève, Jean-Henry Morin s'intéresse aux manières de concilier sécurité et productivité au niveau de l'informatique d'entreprise. En entretien avec nos confrères d'ICTJournal.ch, il explique son idée d'un système de permis d'accès provisoire basé sur la confiance et sur la responsabilisation des collaborateurs.

Rodolphe Keller : Il est de plus en plus question des menaces sur la sécurité des informations dues aux négligences des utilisateurs. Que pensez-vous de cette préoccupation ?

Jean-Henry Morin : Je pense qu'il y a pas mal de mauvaises conceptions autour de l'utilisateur et on l'entend régulièrement de la bouche des consultants pour lesquels l'utilisateur est un problème, alors que pour moi, l'utilisateur fait partie de la solution. Je pense que c'est la seule approche viable dès lors que l'on accepte qu'il n'y an'existe pas de sécurité absolue, ce que l'on doit accepter. Partant de là, il y aura toujours un moyen d'éviter les dispositifs de sécurité: la sécurité ne grandes forteresses, il est toujours possible de les contourner, ne serait-ce que par l'attaque analogique, ou alors il faudrait supprimer l'humain, ce qui n'est pas envisageable. C'est le point de départ de mes travaux: partir de l'hypothèse que l'être humain joue un rôle central dans le système et qu'il faut donc le mettre de son côté. Il s'agit donc de les sensibiliser aux dangers qu'ils courent et font courir ? La sensibilisation est un aspect extrêmement important et je ne suis pas sûr qu'il soit assez développé. Beaucoup de personnes font au quotidien des choses sans se rendre compte de leur impact sur la sécurité de l'entreprise. La sensibilisation est une première étape, la seconde étant la conscientisation. Il s'agit de mener le collaborateur vers une forme de responsabilisation ou tout au moins de valorisation de cette responsabilité de l'individu dans son milieu. Si l'on engage un collaborateur dans une fonction, il y a a à priori un rapport de confiance entre l'employeur et l'employé, quand bien même des exemples récents montrent qu'il est difficile d'établir ce rapport personnel avec chaque employé dans une très grande entreprise. Certes, le contrôle fait partie in...