La sécurité pour de vrai : la série des faux semblants – Episode 1

Dans cette série d’articles, Sarapis s’attèle à traiter les affirmations couramment entendues dans le domaine de la sécurité dans le but de réfuter les prétextes à ne pas traiter un problème. Ce n’est pas parce que l’on n’aurait pas de « baguette magique » qu’il faudrait laisser un problème de côté, au risque qu’il mette en péril une organisation. 

C’est parti pour éprouver ces idées reçues !

Faux semblant #1 : Le zéro défaut n’existe pas

Pour confondre la vacuité confortable de ce propos, prenons l’exemple de la santé : nous ne pouvons éviter toutes les maladies, et toutes les maladies ne s’attaquent pas à tout un chacun. Cependant, notre but est d’éviter une mort accidentelle. La mort est naturelle, nous mourrons tous un jour, mais nous nous attelons à éviter une mort brutale. Dans cette dialectique, le risque c’est la mort accidentelle et les maladies constituent des menaces. 

Le zéro défaut est donc une question de perspective : si l’on estime que le « défaut » concerne la menace, alors effectivement le zéro défaut n’existe pas, car il nous sera impossible d’éviter toutes les menaces d’autant que certaines sont pour le moins imprévues (ex : Corona virus). En revanche, si l’on considère le défaut en regard du risque, on peut alors considérer le zéro défaut comme une stratégie d’évitement de la mort brutale – accidentelle. La résilience est alors l’objectif à atteindre. 

Le concept de défense en profondeur peut alors servir de modèle. Il consiste à réduire la surface d’exposition et à ralentir l’attaque pour en maitriser les conséquences.  Vauban l’avait instauré dans l’architecture militaire au 17°siècle … on s’en est inspiré sur le plan sanitaire face à la pandémie du COVID 19. 

C’est en effet grâce à plusieurs « lignes de défenses » inter-agissantes tout en exerçant chacune un effet de sas, que l’attaque est identifiable, ralentie et jugulée. La résilience opère.

On peut aussi l’appliquer dans le domaine particulier qui nous occupe, la sécurité de l’information. Oui, on peut viser le zéro défaut. L’atteinte de cet objectif dépend d’une gouvernance d’entreprise engageant tous les moyens à mettre en œuvre pour dériver les conséquences de scénarios de risques métier.