La cybersécurité est l’affaire de tous

© Can Stock Photo / pn_photo

La transformation numérique, les nouveaux modes de travail collaboratifs, la sécurisation des données, le travail distant… autant de sujets qui sont sur toutes les lèvres. Et juste après arrive une thématique qui les relie tous : celle de la cybersécurité. Cette dernière a trop souvent été perçue comme une brique que l’on ajoute sur un modèle déjà établi pour le protéger. Mais cela ne suffit plus.

Comment mettre en place aujourd’hui une politique de sécurité informatique efficace ? Il s’agit surtout de revoir notre façon de penser la cybersécurité, et d’en tirer les conséquences comportementales qui s’imposent.

De l’intérêt d’envisager la cybersécurité comme un système des systèmes

En cybersécurité aussi, le tout serait-il supérieur à la somme des parties ? En plaçant la problématique de sécurité informatique dans une approche systémique, nous aurons tendance à répondre par l’affirmative.

Le modèle systémique est un modèle relationnel : des éléments d’un ou plusieurs systèmes envoient des informations dans un environnement, qui sont interceptées par d’autres systèmes. Un système est donc, par ricochet, influencé par ce qu’il émet (effet dit de rétroaction ou feed-back). Envisageons maintenant la cybersécurité non pas comme un système à part entière, mais comme un système de systèmes qui englobe l’ensemble des autres. Les systèmes d’information communiquent entre eux, et de fait, il faut une conscience aiguë de l’ensemble des interactions possibles pour prévenir les failles, surveiller les éventuelles intrusions, prendre des mesures de remédiation… Une vision segmentée n’est pas suffisante. Si un maillon de la chaîne lâche, c’est tout le système (et tous les systèmes à l’intérieur de ce tout) qui est mis en danger. La seule modélisation possible est la vision systémique, qui permet également d’inclure les individus et de simuler les comportements humains. L’être humain y est traité comme étant lui-même un système. C’est la raison pour laquelle les modèles systémiques sont déjà largement utilisés, notamment dans les domaines militaires et dans les industries de la défense.

Dans le cas de la cybersécurité, l’environnement se complexifie au fur et à mesure des niveaux technologiques, et le point faible est souvent plus humain que technique. L’approche systémique semble être la seule permettant d’apporter une vision globale tout en restant particulièrement flexible. Elle doit aussi s’envisager comme un outil de modélisation de la gouvernance, permettant de mettre en place un dialogue permanent entre les acteurs métiers et les techniciens en cybersécurité.

La cybersécurité n’est pas (que) l’affaire des techniciens

Dans l’espace de l’entreprise, on aime segmenter les départements, les actions et les responsabilités. C’est particulièrement vrai concernant la cybersécurité : si des efforts de sensibilisation sont certes à noter, les opérateurs se sentent toujours peu concernés par ces sujets. Cette composante culturelle forte est un réel frein à l’efficacité des mesures de protection informatiques. Aujourd’hui encore, toutes les procédures de sécurité ne sont pas toujours respectées, tout simplement parce qu’elles ne sont parfois pas en ligne avec la réalité ou l’évolution d’un métier. Or une politique de sécurité réussie repose sur une bonne prévention, qui elle-même s’appuie sur une vigilance permanente.

Pour que la vigilance ne baisse pas, il faut que la cybersécurité fasse partie du quotidien de chacun, et cela nécessite une confiance réciproque entre les techniciens et les opérateurs et un travail commun pour co-concevoir les process qui seront les plus performants. Le quotidien « sécurité » d’une entreprise ne doit pas être uniquement une succession d’alertes et de recherches de failles, mais doit s’organiser autour d’un échange permanent. De cette discussion continue pourra naître une vraie répartition de la charge de l’analyse des risques, et donc une politique de cybersécurité efficace et adaptée à la structure, quelle que soit sa taille.

Pour qu’elle soit perçue comme essentielle par tous et que les pratiques changent en profondeur, la problématique de cybersécurité doit devenir un objectif, qui sera évalué et récompensé. Les opérateurs métiers deviennent ainsi acteurs de leur propre sécurité, laissant aux techniciens la gestion de la supervision, de la business intelligence adaptée à la cybersécurité, de la surveillance et des aspects techniques.

La cybersécurité d’une entreprise peut être efficace et adaptée aux problématiques des métiers si elle est d’emblée intégrée au développement des outils et des processus, et non plus considérée comme une fonction qui s’ajoute en aval. Implémenter ce nouveau paradigme dans les entreprises passe par un changement culturel et une approche systémique de la sécurité informatique. C’est ici que le management a un rôle à jouer : l’implémentation d’une authentique cybersécurité nécessite qu’elle devienne un objectif pour chacun, au même titre que les objectifs de qualité ou de performance au sein des entreprises.


Jean-Pierre Dandrieux, co-founding partner chez Cognitive Companions

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *