Comment réduire les erreurs humaines sur un projet informatique
Ăcrit par
Publié le
Do not index
Do not index
Primary Keyword
Lié à Analyse sémantique (Articles liés) 1
Lié à Analyse sémantique (Articles liés)
Statut rédaction
A améliorer
Lié à Analyse sémantique (Articles liés) 2
Les risques liés aux erreurs humainesCadrer ses équipes pour éviter les erreurs humainesLimiter les erreurs humaines en limitant l'intervention humaine
Les risques liés aux erreurs humaines
Selon une étude Gartner, en 2020, 95% des incidents de sĂ©curitĂ© dans le Cloud rĂ©sulteront dâune erreur humaine.
Stress, fatigue, pression ou encore effectif rĂ©duit, autant de facteurs qui vont accentuer cette problĂ©matique. MĂȘme si majoritairement ces erreurs sont involontaires, elles peuvent coĂ»ter cher Ă votre entreprise.
Les erreurs humaines sont lâun des principaux facteurs de faille dans un systĂšme de sĂ©curitĂ© informatique.
Dans un mĂȘme temps, les erreurs humaines sont aussi cause dâincident sur les applications. Mise en production loupĂ©, erreur de configuration, des situations Ă©vitables qui Ă contrario peuvent causer des pĂ©nalitĂ©s et une perte de clientĂšle.
La panne de mai Salesforce en est un bon exemple. En utilisant la formule de référence de Gartner (5 600 dollars la minute), des rapports publiés indiquent que la panne a coûté à Salesforce environ 5 millions de dollars (à 15 heures et huit minutes).
Le Ponemon Institute a signalĂ© que lâerreur humaine Ă©tait Ă lâorigine de 22% des interruptions non planifiĂ©es, et a notĂ© que ce nombre Ă©tait restĂ© stable, «indiquant quâil nây avait aucun progrĂšs dans la rĂ©duction de ce qui devrait ĂȘtre une cause Ă©vitable de temps dâarrĂȘt.»
Que votre entreprise soit composée de deux ou de dizaines de personnes, les erreurs humaines peuvent prendre différentes formes et les causes en sont multiples:
- Fautes dâorthographe ou aux fautes de frappe
- Oublis
- Erreurs liées à une action réalisée sans avoir les informations sur tous les parties prenants
Si ces erreurs peuvent ĂȘtre anodines, dans certains cas, elles peuvent mettre lâentreprise en danger.
Cadrer ses Ă©quipes pour Ă©viter les erreurs humaines
Si un certain nombre dâerreurs humaines sont inĂ©vitables, la mobilisation accrue des employĂ©s peut permettre de remĂ©dier efficacement Ă la violation dĂ©libĂ©rĂ©e des protocoles de sĂ©curitĂ© et de prĂ©venir les incidents de sĂ©curitĂ© causĂ©s par une nĂ©gligence.
Le manque de rĂ©activitĂ© des employĂ©s est en rĂ©alitĂ© lâun des principaux problĂšmes de sĂ©curitĂ© dâune entreprise. Une Ă©tude menĂ©e en 2016 par Ipa Involve a rĂ©vĂ©lĂ© que 22 % des violations de donnĂ©es Ă©taient le rĂ©sultat dâactivitĂ©s malveillantes dâemployĂ©s, et 65 % de nĂ©gligences. Les employĂ©s non mobilisĂ©s sont plus sensibles Ă une manipulation extĂ©rieure, davantage susceptibles de causer la vulnĂ©rabilitĂ© des systĂšmes en raison dâune nĂ©gligence et plus exposĂ©s aux fuites dâinformations confidentielles de lâentreprise.
La sensibilisation des collaborateurs va passer par plusieurs Ă©tapes : la formation, la mise en place de procĂ©dures de contrĂŽle, le suivi des erreurs ou encore lâaccĂšs restreint Ă certains logiciels.
La sensibilisation des collaborateurs doit se faire par les RSSI dont le rĂŽle est de prĂ©venir et dâanticiper les lacunes de sĂ©curitĂ© des systĂšmes dâinformation.
La formation : Former ses collaborateurs Ă la sĂ©curitĂ© des systĂšmes dâinformation permet de rĂ©duire drastiquement les erreurs de manipulation, que cela soit dans lâutilisation des logiciels professionnels, comme dans lâentrĂ©e de donnĂ©es. Il est dâusage de proposer dans un premier temps une formation globale incluant lâensemble des collaborateurs puis de dĂ©velopper certaines compĂ©tences en petits groupes de travail, selon les technologies utilisĂ©es.
Il est utile que cette formation accompagne le collaborateur tout au long de son parcours au sein de lâentreprise : de son engagement jusquâĂ son dĂ©part. Lâobjectif ici est de dĂ©velopper un rĂ©el programme de sensibilisation pour faire du collaborateur lâacteur majeur de la protection de lâinformation en entreprise, via le partage de la vision dâentreprise en matiĂšre de sĂ©curitĂ© des SI.
Pour rĂ©duire les coĂ»ts de formation, les DSI font de plus en plus appel Ă des MOOCs, lâagence nationale de la sĂ©curitĂ© des systĂšmes dâinformation sây est mĂȘme mise !
Des procĂ©dures de contrĂŽle : Il sera important pour lâentreprise de mettre en place des procĂ©dures de contrĂŽles, câest-Ă -dire mettre en place un contrĂŽle des collaborateurs sur une base rĂ©guliĂšre. Si le collaborateur ne suit pas les procĂ©dures en matiĂšre de sĂ©curitĂ© des systĂšmes dâinformation, il pourra suivre une formation complĂ©mentaire ou ĂȘtre sanctionnĂ©.
Un accĂšs restreint : Restreindre lâaccĂšs Ă certains logiciels aux collaborateurs qui en ont le plus besoin pour permettre de diminuer les erreurs. Ceci peut se faire par une administration centralisĂ©e et cela permettra de limiter les Ă©changes entre de nombreux acteurs (le plus souvent trop dâacteurs non-pertinents) au sein de lâentreprise sur ces logiciels.
Un suivi des erreurs : Il sera important dâanalyser les erreurs des collaborateurs afin dâen extraire des leçons pour Ă©viter que cela puisse se reproduire. Un vĂ©ritable accompagnement de la part des RSSI auprĂšs des collaborateurs est donc indispensable.
De la confidentialitĂ© : Le dĂ©fi est de suivre le collaborateur tout en lui apportant une certaine confidentialitĂ© dans son travail malgrĂ© les procĂ©dures de contrĂŽle, lâaccĂšs restreint et le suivi des erreurs. Le collaborateur doit pouvoir ĂȘtre autonome sans se sentir surveillĂ© dĂšs quâil ouvre son ordinateur, son tĂ©lĂ©phone ou sa tablette.
La documentation :
Lâutilisation dâun outil tel que Confluence ou Notion comme source dâinformations unique fournit un seul emplacement pour la documentation importante qui peut ĂȘtre mis Ă jour automatiquement.
Limiter les erreurs humaines en limitant l'intervention humaine
Il nâexiste pas dâenvironnement informatique totalement infaillible, cependant, afin de limiter les erreurs humaines sur les projets informatiques, des mĂ©thodologies/cadres existent. Câest le cas notamment dans la culture DevOps, SRE, ou framework ITIL.
En appliquant ces mĂ©thodologies, les organisations utilisent lâautomatisation pour rĂ©duire le temps du personnel informatique consacrĂ© aux tĂąches banales, rĂ©pĂ©titives, contribuant ainsi Ă promouvoir la productivitĂ© et Ă faire de la transformation numĂ©rique un succĂšs.
Automatiser les actions devient ainsi un moyen dâĂ©viter les erreurs simplement en enlevant le facteur humain qui en le principal root cause.
Lâautomatisation permet Ă©galement surveiller plus efficacement les opĂ©rations pour rĂ©duire les risques et signaler les problĂšmes causĂ©s non pas par des bogues logiciels, des attaques ou des applications non autorisĂ©es, mais par une erreur humaine.
La surveillance automatisĂ©e, par exemple, aurait pu aider Ă Ă©viter la panne S3 dâAmazon Web Services (AWS) causĂ©e par une erreur humaine. Selon le site dâAmazon, la personne devait exĂ©cuter une commande pour supprimer un petit nombre de serveurs, mais a plutĂŽt supprimĂ© de maniĂšre incorrecte des serveurs supplĂ©mentaires prenant en charge deux autres sous-systĂšmes.
Ă mesure que les entreprises se dĂ©veloppent, le risque dâerreur humaine augmente avec la croissance. Lorsque les Ă©quipes informatiques gĂšrent 10 000 appareils, ils sont inĂ©vitablement trop dispersĂ©s, et les 22% dâinterruptions imprĂ©vues causĂ©es par une erreur humaine ont une probabilitĂ© plus Ă©levĂ©e.
Afin de rĂ©duire le nombre dâerreurs humaines, il est judicieux de poser des cadres durant les saisies de donnĂ©es.
Utiliser les bons outils est un moyen dâapporter des standards qualitĂ©s dans une entreprise.
Par exemple:
- Un outil comme Sweagle permettra dâanalyser la cohĂ©rence des donnĂ©es avant mise en production (configuration, donnĂ©e de production).
- Un outil comme Keltio permettra de stocker les données de configuration puis de lancer les actions automatisées avec sans risques de faute de frappe.
Ăcrit par
KĂ©vin Didelot
KĂ©vin est notre super expert DevSecOps et le fondateur de Keltio đšđ»âđ»Â