Pour être intelligible, la problématique de la sécurité de l’information et son alignement stratégique, ne peut être réduite à la seule analyse de ses composantes élémentaires (technique, organisationnelle, humaines, physique, environnemental, …), tel que l’on procède avec les standards et méthodes « analytiques » qui par leurs approches visent :
- L’exhaustivité -> référentiel fermé
- La mesure exacte -> complication
- La précision -> détail
En effet la problématique est complexe.
Les objets et situations complexes ont en commun :
- Le flou et l’imprécision avec la difficulté d’établir les dimensions et les frontières de l’objet étudié.
Les lois et réglementations, les technologies, les comportements sociétaux … par leurs évolutions impactent le champ de la problématique étudiée.
- L’aléa et l’instabilité, le temps joue un rôle dans l’évolution de la complexité.
La gestion de crise et la communication donnent l’exemple de l’impossibilité de revenir à une situation antérieure dès lors que le résultat attendu ne serait pas satisfaisant. Les actions engagées produisent des effets qu’il devient impossible d’annuler. « Les dés ont été joués et il faut continuer ». Le temps est un des facteurs de la problématique
- L’ambiguïté dans un contexte de logiques antagonistes.
Devant la recrudescence des problèmes posés par la malveillance interne et externe aux entreprises, notamment par les attaques d’ingénierie sociales (phishing) avec leurs conséquences graves pour les entreprises et les particuliers, le facteur humain doit être pris en compte. Il peut alors paraitre ambigu de « se prémunir de la malveillance humaine avec l’aide des humains dans l’entreprise ».
- L’incertitude et l’imprévisibilité.
La notion de complexité implique l’émergence possible du nouveau dans le problème observé.
La problématique posée par la sécurité de l’information relève d’une approche holistique pour réduire sa complexité. Elle nécessite d’être étudiée avec une démarche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.
Alignement stratégique et gouvernance vise la maitrise des risques et la performance. Le contrôle et le pilotage de la sécurité de l’information doit être conçu comme un système à part entière pour :
- Articuler objectifs métier et indicateurs sécurité,
- Mesurer le niveau de sécurité atteint et modifier les interactions des composantes du système
selon les résultats attendus.
Ceci relève d’une approche systémique.
Il est convenu de définir un système comme un ensemble d’éléments en interaction dynamique, organisés en fonction d’un but.
Si la finalité d’un systèmede sécurité de l’information doit permettre à une organisation d’ajuster les prises de risque pour atteindre ses objectifs métier tout en respectant les intérêts des parties prenantes, il convient alors :
- De faire interagir les composantes humaines, organisationnelles, fonctionnelles, techniques … du système mis en œuvre,
- D’inclure dans un périmètre poreux par construction, le contexte économique, légal, réglementaire, technologique, sociétal …
- De réguler les résultats obtenus par une boucle d’interaction.
La suite au prochain épisode…