Les différences culturelles impactent la sécurité de votre système d’information

Avec un système d’information étendu sur plusieurs continents, des différences culturelles importantes peuvent se présenter entre les collaborateurs d’une même entreprise. Ceci entraine de grosses difficultés pour la compréhension entre différentes équipes ainsi que des obstacles pour établir un lien entre elles. De plus, les inconvénients du décalage horaire rendent la communication difficile et n’aident pas les personnes impliquées à communiquer efficacement.
Group Of Multi-Ethnic Business People Standing In Front Of A Globe
Les problématiques rencontrées sont principalement de deux ordres :

Celles liées aux collaborateurs (non-respect des directives, vol de données, etc.) et celles liées au gouvernement (problèmes juridiques, espionnage, etc.).

Il est courant qu’un même comportement soit jugé très différemment s’il est analysé dans un autre contexte culturel. Un exemple simple est la manière de se saluer. Une simple poignée de main chaleureuse et conviviale sera appréciée dans des pays latins alors qu’elle semblera beaucoup trop personnelle en Asie. Dans le même esprit, certains comportements professionnels pourront être jugés comme un agissement exemplaire dans un contexte et un comme un manquement grave dans un autre.

Ce manque de compréhension entraine inévitablement une remise en question de la confiance qu’on accorde aux collaborateurs. Il est en effet difficile d’accorder sa confiance à une personne dont on ne peut comprendre le contexte culturel et dont on a l’impression qu’elle peut à tout moment avoir une réaction ou agir d’une manière qui nous surprendra.

Certaines cultures n’ont notamment pas la même référence que nous des notions de propriété, d’engagement ou encore de respect de propriété intellectuelle qui de par sa dématérialisation reste floue.

Pour ce qui est du gouvernement et de l’administration du pays en question, les différences sont là encore très importantes. De nombreuses formes de gouvernement existent et tous n’appliquent pas les mêmes lois. Certains actes qui auraient des conséquences pénales en Suisse peuvent ne pas être poursuivis dans certains pays ou au contraire des actions banales chez nous peuvent s’avérer répréhensible ailleurs.

Le simple fait d’utiliser des mesures de chiffrement est pénal dans nombre de pays qui pensent soit avoir des lois interdisant purement et simplement l’usage de la cryptographie ou des lois qui concernent le franchissement de la frontière avec des équipements chiffrés. Voici une liste des pays ayant des restrictions sur l’usage du chiffrement:

  • Afrique du Sud,
  • Chine,
  • Corée du Nord,
  • Égypte,
  • États-Unis,
  • Inde,
  • Israël,
  • Maroc,
  • Russie.

Plus un état est autoritaire, plus il sera enclin à effectuer des contrôles qui d’un point de vue de la Suisse peuvent paraitre largement outrepasser leurs attributions. En Chine notamment, le gouvernement reste le seul propriétaire du « last mile » sur les lignes de télécommunication conjointement aux restrictions très sérieuses en matière de chiffrement et la quasi-impossibilité pour une multinationale étrangère d’obtenir une autorisation de l’OSCCA (Office of the State Commercial Cypher Administration) permet au gouvernent l’écoute presque systématique des communications des entreprises.

 

De par notre engagement en Asie pour un de nos clients, nous avons acquis une certaine expérience dans la gestion de ces problématiques et une bonne compréhension tant des enjeux que de la façon d’aborder les biais induits par les différences culturelles.

Kyos est ainsi en mesure de vous accompagner face à ces problématiques de plusieurs façons:

  • Conseil d’architecture: Si des infrastructures sont déployées dans des contextes sociaux politiques très différents, il est peu probable que la même architecture technique soit adaptée à tous les environnements, nous pouvons vous aider à définir les meilleures options pour chaque lieu de déploiement.
  • Audit de sécurité: Si la gestion de votre infrastructure IT est délocalisée à plusieurs endroits, un audit de sécurité sous la forme d’un test d’intrusion est un outil idéal pour définir l’état de la sécurité de vos informations dans les différentes localisations de votre entreprise.
  • Analyse forensique: Si des soupçons sont levés, vis-à-vis d’employés ou d’espionnage par un gouvernement étranger notre compétence en matière de forensique pour vous aider à analyser à posteriori ce qui s’est passé, à comprendre et prouver s’il y a eu malveillance et à définir son étendue le cas échéant.