Quatre façons de sortir de l’enfer des acronymes de sécurité

mikeledray | Shutterstock.com

Avant ses escapades MAGA et DOGE, Elon Musk était avant tout perçu comme un entrepreneur visionnaire. En 2010, il a envoyé une note aux employés de sa société spatiale SpaceX. Il y critique l'utilisation interne excessive d'abréviations dans son style expressif habituel : “Chez SpaceX, il y a une tendance progressive à utiliser des acronymes inventés. Si cela est fait en excès, la communication est considérablement altérée. […] Personne ne se souvient de ces abréviations et certaines personnes ne veulent pas avoir l'air stupides lors des réunions et les acceptent simplement. […] “Cela doit cesser immédiatement, sinon je prendrai des mesures drastiques”, avait alors menacé l'ancien collègue de Trump.

En fait, il est indéniable que l’utilisation excessive d’acronymes peut constituer un obstacle majeur à une communication précise, en particulier dans le secteur de la cybersécurité, où les enjeux sont élevés. Cette liste organisée de toutes les abréviations de sécurité actuellement utilisées illustre à quel point la sécurité est surchargée d'acronymes. Un (petit) extrait :

• FAIBLE,
• CTI,
• DDoS,
• DLP,
• EDR,
• SUIS,
• MDR,
• MSSP,
• SIX,
• SIEM,
• S.O.C.,
• DevSecOps,
• SAST/DAST,
• Ministère des Affaires étrangères.

Les professionnels de la cybersécurité et les décideurs peuvent s’identifier à chacun de ces acronymes. Dans de nombreux autres secteurs de la main-d’œuvre, ils susciteront probablement des regards interrogateurs, en particulier parmi les nouveaux arrivants dans l’entreprise.

Dans cet article, nous examinons comment les organisations peuvent mettre fin aux guerres de cartes internes.

Dommages causés par les raccourcis

Ian P. McCarthy, professeur d'innovation et de gestion des opérations à l'Université Simon Fraser au Canada, explique la tendance à transformer des termes complexes en raccourcis énigmatiques : « D'une part, les acronymes sont utilisés pour rendre la communication brève, standardisée et efficace. D'autre part, la communication contribue également à définir l'identité et l'exclusivité d'une profession.

En ce sens, l’utilisation d’acronymes est aussi une forme d’élitisme, selon l’universitaire : « Cela limite qui peut appartenir à cette communauté professionnelle ».

En fait, il semble que l’industrie technologique ait adopté les acronymes comme arme secrète ultime. Cela permet non seulement de gagner du temps, mais crée également un « club » exclusif. Non seulement cela est frustrant pour les « non-membres », mais cela peut également allonger les durées de formation et dissuader de nouveaux employés potentiels. Mot clé : diversité.

Les inconvénients d’un trop grand nombre d’acronymes en un coup d’œil :

• Barrières d'accès: Imaginez un nouvel employé essayant de comprendre les protocoles de cybersécurité mais se sentant dépassé par des milliers d'acronymes inconnus. Ce qui devait initialement permettre aux experts du secteur de communiquer rapidement devient vite un facteur dissuasif et paralysant.
• Doubles sens et ambiguïtés.: Selon le contexte, les abréviations peuvent parfois avoir plusieurs significations, comme dans le cas d'APT (Advanced Persistent Threat vs. Advanced Packaging Tool). Dans certaines circonstances, cela peut conduire à des malentendus dans des communications importantes et donc potentiellement favoriser des failles de sécurité.
• acronyme fatigue: Il n'y a pas que les nouveaux employés qui peuvent se sentir dépassés par des abréviations galvaudées. Même les professionnels chevronnés de la cybersécurité peuvent succomber à la lassitude des acronymes, simplement parce qu'il y a trop d'acronymes et qu'il est impossible de suivre tous les nouveaux développements. Mais ils sont particulièrement importants dans le domaine de la sécurité informatique.
• Perte de transparence: Alors que la cybersécurité joue un rôle de plus en plus important dans la vie quotidienne, il est essentiel de communiquer les bases de la sécurité d'une manière qui soit généralement compréhensible. Les acronymes peuvent souvent dérouter les utilisateurs inconnus plus qu’ils n’apportent de clarté.

Solution de contournement des acronymes

Bien entendu, il existe des différences selon les organisations dans la manière dont les acronymes sont traités. Par exemple, une règle générale pourrait consister à utiliser uniquement ceux qui sont connus au sein de l’organisation. Les abréviations qui ne sont pas utilisées dans la conversation doivent absolument être évitées dans la communication écrite ou doivent être épelées, du moins lorsqu'elles sont mentionnées pour la première fois.

Toutefois, éviter complètement les abréviations n’est pas une solution. Il est plutôt conseillé de les utiliser avec parcimonie et de leur fournir un contexte pertinent. Les quatre approches suivantes peuvent aider les entreprises et les organisations à atteindre cet objectif.

1. Glossaire: Des glossaires standardisés avec des acronymes fréquemment utilisés permettent aux nouveaux arrivants de se familiariser facilement avec les termes les plus importants et les plus pertinents.
2. Des explications simples: De brèves explications ou définitions apparaissant avec des acronymes moins courants sont déjà courantes dans les documentaires et les articles journalistiques. Cette approche pourrait également être étendue aux présentations, aux réunions et aux e-mails.
3. Évitez les choses inutiles: Tous les termes n'ont pas besoin d'un acronyme. Dans certains cas, un langage simple décrivant des termes énigmatiques peut être une meilleure option.
4. Entraînement: Des sessions de formation régulières sur la terminologie nouvelle et existante peuvent aider à maintenir l'ensemble du personnel d'une organisation à jour sans surcharger les gens.

Selon le dramaturge George Bernard Shaw, le plus grand obstacle à la communication est l'illusion qu'elle a eu lieu. L’utilisation excessive d’acronymes contribue à créer ce mirage.

Souhaitez-vous lire des articles plus intéressants sur le thème de la sécurité informatique ? Notre newsletter gratuite fournit tout ce que les experts en sécurité et les décideurs doivent savoir directement dans leur boîte de réception.