Une vision partagée… sur la gouvernance, qui conduit à un nouveau paradigme

Lorsque l’on parle de sécurité, on embrasse une vision qui mène à un nouveau paradigme :  La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.  

Dans cette série d’articles sur la vision partagée, nous vous dévoilons quelques extraits de la publication de Jean-Yves Oberlé en téléchargement ici : https://sarapis.fr/#download-book

Une vision partagée… sur la gouvernance 

La sécurité de l’information concerne toutes les fonctions de l’organisation avec pour chacune des responsabilités spécifiques. 

La gouvernance s’exerce dans le champ de la sécurité sur la base d’une structure et d’un processus.
La structure repose sur l’organisation de l’entreprise avec ses comités et son Système de Management de la Sécurité de l’Information (1) en place ou à mettre en place s’il y a lieu. Les dimensions décisionnelles, opérantes et de contrôle du processus de gouvernance pourront s’y exercer. 

La gouvernance d’entreprise en intégrant dans son champ la sécurité de l’information permet : 

• D’établir un pont solide entre stratégie et sécurité pour développer les performances de l’organisation de manière durable, 
• Une gestion de la sécurité par les risques Métier, 
• Un pilotage articulant les objectifs métiers aux indicateurs opérationnels de sécurité,

La sécurité n’est définitivement pas l’affaire des seuls spécialistes. 

… qui conduit à un nouveau paradigme 

La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.
La problématique complexe posée par la sécurité de l’information relève d’une vision globale. D’une part, elle ne peut pour être intelligible être réduite à la seule analyse de ses composantes élémentaires (technique, organisationnelle, ressources humaines, physique et envi- ronnemental, …). Et d’autre part, « La notion de complexité implique l’imprévisibilité et l’émergence possible du nouveau au sein du phénomène que l’on tient pour complexe » (2) 

Les objets et situations complexes ont en commun : 

• Le flou et l’imprécision avec la difficulté d’établir les dimensions et les frontières de l’objet étudié. Les lois et réglementations, les technologies, les comportements sociétaux, les nouvelles menaces … par leurs évolutions impactent le champ de la problématique. 
• L’instabilité et le temps. L’aléa joue un rôle dans l’évolution de la complexité. La gestion de crise et la communication donnent l’exemple de l’impossibilité de revenir à une situation antérieure dès lors que le résultat attendu ne serait pas satisfaisant. Les actions engagées produisent des effets qu’il devient impossible d’annuler. « Les dés ont été joués et il faut continuer ». Le temps est un des facteurs de la problématique. 
• L’ambiguïté dans un contexte de logiques antagonistes. Devant la recrudescence des problèmes posés par la malveillance interne et externe aux entreprises, notamment par les attaques d’ingénierie sociale (phishing) avec leurs conséquences graves pour les entreprises et les particuliers, le facteur humain doit être pris en compte. Il peut alors paraitre ambigu de « se prémunir de la malveillance humaine avec l’aide des humains dans l’entreprise ». L’humain est la menace et l’humain est la solution. 
• L’incertitude et l’imprévisibilité. La notion de complexité implique l’émergence possible du nouveau dans le problème observé. La complexité de la sécurité de l’information nécessite de concevoir un nouveau modèle avec une méthodologie systémique.

(1) La norme ISO27001 est le référentiel pour la construction d’un SMSI

(2) JL. Le Moigne La modélisation des systèmes complexes 

Notre prochain article clôturera cette série sur la vision partagée et abordera la notion de système étroitement liée à l’approche systémique.