L'approche RSSI: Facteurs humains
La sécurité comme mission
Le respect de la politique de sécurité de “l’organisation” est une condition essentielle à la continuité de ses activités. Chaque personne doit en avoir conscience, le mettre en œuvre et savoir qu’il s’expose à des sanctions (même légales) en cas de non-respect.
Chaque membre de “l’organisation” doit lire et signer “l’engagement de respect de la sécurité pour les membres de l’organisation” présenté en annexe. Les nouveaux arrivants l’examineront et le signeront lors de leur embauche, tandis que les “anciens” le signent dès la mise en œuvre de cette politique, sous la responsabilité du responsable du personnel.
La formation et l’information
Aussi bien les risques, ainsi que les procédures et mesures de sécurité à mettre en oeuvre doivent être connus de tous. A cet égard, tous les responsables doivent s’assurer que les personnes sous leur responsabilité ont connaissance de la politique de sécurité.
D’autre part, toute personne ayant une responsabilité technique doit s’assurer qu’elle en maîtrise les aspects sécuritaires et, si nécessaire, s’y former et informer ses collègues.
Appliquer dans mesures de sécurité pour:
Voir aussi:
- Protéger son entreprise - Former ses employés
- La sensibilisation et la formation
- Les erreurs humaines
La gestion des ressources humaines
Avant le recrutement
L’objectif de la politique de sécurité iest d’assurer que tout agent connaisse ses responsabilités et que l’agent ait été choisi de façon à ce qu’il convienne pour les responsabilités qui lui sont attribuées. Ce principe permet d’éviter le risque d’erreur ou de mauvais usages des biens de l’organisation.
À cet effet, l’organisation veille à mentionner les responsabilités en matière de sécurité dans les descriptions de postes. Les candidats, surtout pour des postes sensibles, sont choisis en considération de cet élément. Les candidats retenus sont priés de signer un accord sur les rôles et responsabilités en matière de sécurité.
Pendant la durée du contrat
L’objectif de la politique de sécurité est d’assurer que tout agent soit conscient:
- de l’utilité de connaître et comprendre la politique de sécurité,
- des menaces les plus probables sur la sécurité de son activité,
- des impacts les plus redoutés,
- de sa responsabilité en matière de sécurité, et de la nécessité de contribuer à réduire les risques liés en particulier à des erreurs humaines.
La politique de sécurité incite à ce que chaque agent reçoive les formations et qualifications adéquates. En particulier, les utilisateurs doivent:
- connaître et comprendre la politique de sécurité
- connaître et respecter les consignes et mesures de sécurité
- contribuer activement à améliorer la sécurité
- informer les membres d’un comité de sécurité des lacunes ou incidents de sécurité.
Les dispositions de la procédure disciplinaire du statut général des employés sont applicables en cas de violation des règles de la politique de sécurité.
Responsabilité en fin de contrat
L’objectif de la politique de sécurité est d’assurer que les intervenants qui quittent l’organisation ou qui changent d’affectation suivent une procédure formelle. Les intervenants doivent en particulier restituer le matériel de l’organisation, leurs accès doivent être révoqués et ils doivent prendre conscience des responsabilités valables au-delà du contrat d’engagement, comme p.ex. l’obligation du respect de la confidentialité.
La réponse aux incidents et dysfonctionnements
Chaque membre de “l’organisation” doit signaler à son responsable direct ou au responsable de l’informatique ou à la direction les constatations suivantes:
- la faiblesse (vulnérabilité )d’un outil, d’une procédure ou de tout autre élément de “l’organisation”,
- tout incident de sécurité, constaté grâce à un outil de surveillance ou par tout autre moyen.
Les incidents ou faiblesses signalés sont traités et résolus par le responsable de la gestion de l’élément concerné. Leur initiateur et les autres membres de l’entreprise sont informés des solutions mises en œuvre, de manière à assurer la vigilance de tous.