Introduction
Les médias se font l’écho des événements relatifs au vol ou à la divulgation de données confidentielles voire stratégiques. L’actualité donne une grande résonance aux préjudices que subissent les entreprises et les états, dès lors que leurs patrimoines informationnels ou leurs processus vitaux sont la cible de concurrents déloyaux ou de hackers, via le cyberespace.
Les organisations, les personnes s’approprient des moyens numériques de plus en plus puissants et efficaces. Les moyens de communication interconnectés dans un cyberespace global changent les usages et accélèrent les transformations sociétales. De nouvelles menaces massives ou ciblées portent atteinte à la confidentialité des données personnelles et aux intérêts des entreprises via leurs systèmes d’information.
De nouveaux enjeux de protection du patrimoine informationnel et de la vie privée s’imposent aux entreprises et aux personnes.
Les données sont le nouvel or noir de l’économie numérique et la sécurité des systèmes d’information une part essentielle de la gouvernance d’entreprise, son coût intègre désormais un poste comptable et assurable. La maîtrise du risque numérique devient un métier incontournable pour toute entreprise quelle que soit sa taille, au même titre que les ressources humaines, tant la menace qui pèse sur les industriels, opérateurs de services essentiels en tête, devient un élément susceptible d’affecter le capital de l’entreprise, son patrimoine, ses données clients et ses sous-traitants. La non maîtrise des risques numériques affecte directement la chaîne de la valeur de toute entreprise et à son écosystème. Autrement dit chaque entreprise est un maillon essentiel de la chaîne de sécurité de son écosystème.
Quels risques doivent être gérés en interne ?
Le risque matériel ou technologique: perte/vol de données, espionnage, chantage, retournement de personnel, perte de client ou de marché, vol de brevet ou d’idée en cours d’expérimentation, déni de service interne ou à l’égard de clients, etc. Le risque juridique : perte de la valeur du capital, atteinte à l’image, atteinte aux données des clients et prospects, responsabilité contractuelle, délictuelle ou pénale au titre du droit national ou européen.
La sécurité de l’information est au cœur des enjeux des états, des organisations et des citoyens face à des attaques protéiformes dans un contexte de criminalité et de tensions internationales accrus.
Devant l’accroissement des menaces et leur durabilité, l’Europe s’est doté d’une réglementation originale centrée sur l’efficience de la sécurité numérique : efficacité technologique et efficacité juridique. Autrement dit, un standard de sécurité opposable aux Etats et aux industriels ciblés par celle-ci en vue de la protection des droits fondamentaux des personnes physiques sur leurs données et leur vie privée doit être mis en place à grand train. Par ailleurs, reconnaissant la place particulière des opérateurs de services essentiels c’est sur ceux-ci que pèse la mise en œuvre de la sécurité numérique et la protection de l’information dans toutes ses dimensions. En particulier la protection du patrimoine informationnel de la nation, les informations stratégiques ou confidentielles, le secret des affaires, comme la protection des données personnelles, peuvent entraîner la responsabilité des dirigeants au titre de ces diverses réglementations.
L’interaction des risques opère des effets démultiplicateurs en termes d’impacts sur les plans géopolitique, économique et sociétal. Chaque risque peut interagir dans une relation de causalité circulaire avec un effet final dévastateur, une procédure juridique peut nuire à l’image de marque d’une entreprise et entraîner des pertes de parts de marché engendrant des pertes financières avec pour risque social des licenciements.
Un positionnement de la sécurité basé sur une vision linéaire de son évolution technique n’est plus adapté aux enjeux actuels. La mutation lexicale de la sécurité a suivi la chronologie des évolutions technologiques en troublant le champ sémantique. Ainsi la sécurité informatique des années 70 est devenue la sécurité des systèmes d’information dans les années 80, puis la sécurité de l’information dans les années 2000 et aujourd’hui la sécurité numérique se globalise en « cybersécurité » à l’heure de la généralisation du big data et de l’économie de la donnée.
Alors, le mot sécurité recouvre-t-il le même sens pour le spécialiste, l’utilisateur, le manager, ou le dirigeant ?
Les différents acteurs de l’organisation se positionnent dans le champ de la sécurité avec une posture qui relève de leur culture professionnelle acquise par la pratique de leur métier ou de leurs responsabilités. Leur posture d’expert dans leur métier, y compris dans la sécurité, les enferment dans leur domaine. Les différents aspects de la sécurité sont ainsi atomisés et vus comme à travers un kaléidoscope sans que personne ne soit en position de dresser une vue globale de la problématique et permettre de reconstituer le puzzle.
Il faut bien constater que les visions, stratégique, opérationnelle et technique concernant la sécurité dans les organisations, ne couvrent pas le même champ.
Chacun de nous, utilisateurs, dirigeants ou experts, a des besoins et une compréhension différente et partielle du problème posé par la gestion des risques. On note avec intérêt le fait que la sécurité pour la chaîne de production est à l’origine un élément essentiel de la qualité, elle est devenue aujourd’hui synonyme de confiance dans le service, voire en l’Etat.
Lorsque les spécialistes identifient des menaces, les managers évoquent des vulnérabilités et les dirigeants évaluent des risques économiques, juridiques … Ces différentes approches sont pertinentes et elles sont complémentaires. Il faut les faire converger et les coordonner, c’est ce qui sous-tend la maîtrise des risques à travers une politique de sécurité de l’information.
Il nous manque donc une vision globale au niveau corporate et un langage commun, partagés. Cette problématique complexe commande de changer de point de vue pour se parer efficacement.
La sécurité ne peut être considérée comme un sujet exclusivement technologique, mais comme une problématique faisant interagir aussi des composantes politique, humaine, organisationnelle et managériale.
Les organisations doivent considérer la sécurité de l’information comme un élément clé de leur nécessaire transformation numérique et l’intégrer dans le champ de leur gouvernance, afin de garantir leurs intérêts et de progresser de façon efficace et durable.
Or, dans une approche globale du sujet, toutes les méthodes d’analyse et de gestion des risques sont-elles prégnantes ?
Devant une problématique devenue complexe il convient d’admettre que la sécurité numérique n’est plus l’affaire des seuls spécialistes, mais l’affaire de chacun dans l’accomplissement de sa fonction dans l’entreprise.
La gestion des risques doit passer par la mise en synergie de l’ensemble des compétences au sein des organisations, dans une vision partagée.
Changer de paradigme implique de développer une méthodologie de pilotage de la sécurité de l’information et donc des données, disruptive.
En effet, pour être pragmatique et efficiente, elle doit être :
– simple à mettre en œuvre pour être accessible par l’ensemble des acteurs de l’organisation, en dépassant les clivages spécialistes / non spécialistes, elle est donc respectueuse des usages métiers,
– rapide pour limiter l’exposition aux risques et éviter l’effet tunnel,
– proactive pour réduire la l’imprévisibilité des menaces liés aux retards dans la prise de décision,
– communicante pour établir un vecteur de gouvernance entre stratégie et sécurité de l’information,
– outillée par une plateforme numérique, pour :
o faciliter l’application de la méthode et diminuer les coûts de mise en œuvre par un gain de temps et la limitation des ressources humaines à engager,
o mettre en place un outil de communication entre toutes les parties prenantes du système de management de la sécurité de l’information adapté à l’organisation de l’entreprise.
L’approche dans sa dimension économique vise la rationalisation du coût de la mise à niveau de la sécurité, c’est pourquoi elle doit être centrée sur :
– les services essentiels des métiers de l’entreprise pour optimiser l’utilisation des ressources,
– la dangerosité des menaces pour prioriser les mesures de protection,
– la réalité des risques pour éviter les scénarios improbables, – un juste niveau de protection grâce à un scénario de risque métier qui donne une vue synoptique de ses composantes : gravité, menaces/vulnérabilités, ressources spécifiques.