Comment réduire les erreurs humaines sur un projet informatique

Les risques liés aux erreurs humaines

Selon une étude Gartner, en 2020, 95% des incidents de sécurité dans le Cloud résulteront d’une erreur humaine.

Stress, fatigue, pression ou encore effectif réduit, autant de facteurs qui vont accentuer cette problématique. Même si majoritairement ces erreurs sont involontaires, elles peuvent coûter cher à votre entreprise.

Les erreurs humaines sont l’un des principaux facteurs de faille dans un système de sécurité informatique. 

Dans un même temps, les erreurs humaines sont aussi cause d’incident sur les applications. Mise en production loupé, erreur de configuration, des situations évitables qui à contrario peuvent causer des pénalités et une perte de clientèle.

La panne de mai Salesforce en est un bon exemple. En utilisant la formule de référence de Gartner (5 600 dollars la minute), des rapports publiés indiquent que la panne a coûté à Salesforce environ 5 millions de dollars (à 15 heures et huit minutes).

Le Ponemon Institute a signalé que l’erreur humaine était à l’origine de 22% des interruptions non planifiées, et a noté que ce nombre était resté stable, «indiquant qu’il n’y avait aucun progrès dans la réduction de ce qui devrait être une cause évitable de temps d’arrêt.»

Que votre entreprise soit composée de deux ou de dizaines de personnes, les erreurs humaines peuvent prendre différentes formes et les causes en sont multiples:

  • Fautes d’orthographe ou aux fautes de frappe
  • Oublis
  • Erreurs liées à une action réalisée sans avoir les informations sur tous les parties prenants
 

Si ces erreurs peuvent être anodines, dans certains cas, elles peuvent mettre l’entreprise en danger.

Cadrer ses équipes pour éviter les erreurs humaines

Si un certain nombre d’erreurs humaines sont inévitables, la mobilisation accrue des employés peut permettre de remédier efficacement à la violation délibérée des protocoles de sécurité et de prévenir les incidents de sécurité causés par une négligence.

Le manque de réactivité des employés est en réalité l’un des principaux problèmes de sécurité d’une entreprise. Une étude menée en 2016 par Ipa Involve a révélé que 22 % des violations de données étaient le résultat d’activités malveillantes d’employés, et 65 % de négligences. Les employés non mobilisés sont plus sensibles à une manipulation extérieure, davantage susceptibles de causer la vulnérabilité des systèmes en raison d’une négligence et plus exposés aux fuites d’informations confidentielles de l’entreprise.

La sensibilisation des collaborateurs va passer par plusieurs étapes : la formation, la mise en place de procédures de contrôle, le suivi des erreurs ou encore l’accès restreint à certains logiciels.

La sensibilisation des collaborateurs doit se faire par les RSSI dont le rôle est de prévenir et d’anticiper les lacunes de sécurité des systèmes d’information.

La formation:
Former ses collaborateurs à la sécurité des systèmes d’information permet de réduire drastiquement les erreurs de manipulation, que cela soit dans l’utilisation des logiciels professionnels, comme dans l’entrée de données. Il est d’usage de proposer dans un premier temps une formation globale incluant l’ensemble des collaborateurs puis de développer certaines compétences en petits groupes de travail, selon les technologies utilisées.

Il est utile que cette formation accompagne le collaborateur tout au long de son parcours au sein de l’entreprise : de son engagement jusqu’à son départ. L’objectif ici est de développer un réel programme de sensibilisation pour faire du collaborateur l’acteur majeur de la protection de l’information en entreprise, via le partage de la vision d’entreprise en matière de sécurité des SI.

Pour réduire les coûts de formation, les DSI font de plus en plus appel à des MOOCs, l‘agence nationale de la sécurité des systèmes d’information s’y est même mise !

Des procédures de contrôle:
Il sera important pour l’entreprise de mettre en place des procédures de contrôles, c’est-à-dire mettre en place un contrôle des collaborateurs sur une base régulière. Si le collaborateur ne suit pas les procédures en matière de sécurité des systèmes d’information, il pourra suivre une formation complémentaire ou être sanctionné.

Un accès restreint:
Restreindre l’accès à certains logiciels aux collaborateurs qui en ont le plus besoin pour permettre de diminuer les erreurs. Ceci peut se faire par une administration centralisée et cela permettra de limiter les échanges entre de nombreux acteurs (le plus souvent trop d’acteurs non-pertinents) au sein de l’entreprise sur ces logiciels.

Un suivi des erreurs:
Il sera important d’analyser les erreurs des collaborateurs afin d’en extraire des leçons pour éviter que cela puisse se reproduire. Un véritable accompagnement de la part des RSSI auprès des collaborateurs est donc indispensable.

De la confidentialité:
Le défi est de suivre le collaborateur tout en lui apportant une certaine confidentialité dans son travail malgré les procédures de contrôle, l’accès restreint et le suivi des erreurs. Le collaborateur doit pouvoir être autonome sans se sentir surveillé dès qu’il ouvre son ordinateur, son téléphone ou sa tablette.

La documentation:

L’utilisation d’un outil tel que Confluence ou Notion comme source d’informations unique fournit un seul emplacement pour la documentation importante qui peut être mis à jour automatiquement. 

Limiter les erreurs humaines en limitant l'intervention humaine

Il n’existe pas d’environnement informatique totalement infaillible, cependant, afin de limiter les erreurs humaines sur les projets informatiques, des méthodologies/cadres existent. C’est le cas notamment dans la culture DevOps, SRE, ou framework ITIL.

En appliquant ces méthodologies, les organisations utilisent l’automatisation pour réduire le temps du personnel informatique consacré aux tâches banales, répétitives, contribuant ainsi à promouvoir la productivité et à faire de la transformation numérique un succès.

Automatiser les actions devient ainsi un moyen d’éviter les erreurs simplement en enlevant le facteur humain qui en le principal root cause.

L’automatisation permet également surveiller plus efficacement les opérations pour réduire les risques et signaler les problèmes causés non pas par des bogues logiciels, des attaques ou des applications non autorisées, mais par une erreur humaine.

La surveillance automatisée, par exemple, aurait pu aider à éviter la panne S3 d’Amazon Web Services (AWS) causée par une erreur humaine. Selon le site d’Amazon, la personne devait exécuter une commande pour supprimer un petit nombre de serveurs, mais a plutôt supprimé de manière incorrecte des serveurs supplémentaires prenant en charge deux autres sous-systèmes.

À mesure que les entreprises se développent, le risque d’erreur humaine augmente avec la croissance. Lorsque les équipes informatiques gèrent 10 000 appareils, ils sont inévitablement trop dispersés, et les 22% d’interruptions imprévues causées par une erreur humaine ont une probabilité plus élevée.

Afin de réduire le nombre d’erreurs humaines, il est judicieux de poser des cadres durant les saisies de données.

Utiliser les bons outils est un moyen d’apporter des standards qualités dans une entreprise.

Par exemple:

  • Un outil comme Sweagle permettra d’analyser la cohérence des données avant mise en production (configuration, donnée de production).
  • Un outil comme Keltio permettra de stocker les données de configuration puis de lancer les actions automatisées avec sans risques de faute de frappe.

En découvrir plus sur la gestion des projets informatiques

Comment Keltio m'aide pour éviter les erreurs humaines ?