Changement de cyber-paradigme : arrêtons d'en parler pour l'implémenter

La transformation numérique, la sécurisation des données, le travail à distance… autant de sujets reliés par une même thématique : celle de la cyber-sécurité. Cette dernière a trop souvent été perçue comme une brique que l'on ajoute sur un modèle déjà établi pour le protéger. Comment mettre en place une politique de sécurité informatique efficace ? Il faut revoir notre façon de penser la cyber-sécurité et en tirer les conséquences comportementales qui s'imposent. 

De l’intérêt d’envisager la cyber-sécurité comme un système des systèmes  

En cyber-sécurité aussi, le tout serait-il supérieur à la somme des parties ? En plaçant la problématique de sécurité informatique dans une approche systémique, nous aurons tendance à répondre par l’affirmative.  

Le modèle systémique est un modèle relationnel : des éléments d’un ou plusieurs systèmes envoient des informations dans un environnement, qui sont interceptées par d’autres systèmes. Un système est donc, par ricochet, influencé par ce qu’il émet (effet dit de rétroaction ou feedback). Envisageons maintenant la cyber-sécurité non pas comme un système à part entière, mais comme un système de systèmes qui englobe l’ensemble des autres. Les systèmes d’information communiquent entre eux, et de fait, il faut une conscience aigüe de l’ensemble des interactions possibles pour prévenir les failles, surveiller les éventuelles intrusions, prendre des mesures de remédiation… Une vision segmentée n’est pas suffisante. Si un maillon de la chaîne lâche, c’est tout le système (et tous les systèmes à l’intérieur de ce tout) qui est mis en danger. La seule modélisation possible est la vision systémique, qui permet également d’inclure les individus et de simuler les comportements humains. L’être humain y est traité comme étant lui-même un système. C’est la raison pour laquelle les modèles systémiques sont déjà largement utilisés, notamment dans les domaines militaires et dans les industries de la défense.  

Dans le cas de la cyber-sécurité, l’environnement se complexifie au fur et à mesure des niveaux technologiques, et le point faible est souvent plus humain que technique. L’approche systémique semble être la seule permettant d’apporter une vision globale tout en restant particulièrement flexible. Elle doit aussi s’envisager comme un outil de modélisation de la gouvernance, permettant de mettre en place un dialogue permanent entre les acteurs métiers et les techniciens en cyber-sécurité.  

La cyber-sécurité n’est pas (que) l’affaire des techniciens  

Dans l’espace de l’entreprise, on aime segmenter les départements, les actions et les responsabilités. C’est particulièrement vrai concernant la cyber-sécurité : si des efforts de sensibilisation sont certes à noter, les opérateurs se sentent toujours peu concernés par ces sujets. Cette composante culturelle forte est un réel frein à l’efficacité des mesures de protection informatiques. Aujourd’hui encore, toutes les procédures de sécurité ne sont pas toujours respectées, tout simplement parce qu’elles ne sont parfois pas en ligne avec la réalité ou l’évolution d’un métier.

Or une politique de sécurité réussie repose sur une bonne prévention, qui elle-même s’appuie sur une vigilance permanente. Pour que la vigilance ne baisse pas, il faut que la cyber-sécurité fasse partie du quotidien de chacun, et cela nécessite une confiance réciproque entre les techniciens et les opérateurs et un travail commun pour co-concevoir les process qui seront les plus performants. Le quotidien " sécurité" d’une entreprise ne doit pas être uniquement une succession d’alertes et de recherches de failles, mais doit s’organiser autour d’un échange permanent. De cette discussion continue pourra naître une vraie répartition de la charge de l’analyse des risques, et donc une politique de cyber-sécurité efficace et adaptée à la structure, quelle que soit sa taille.  

Pour qu’elle soit perçue comme essentielle par tous et que les pratiques changent en profondeur, la problématique de cyber-sécurité doit devenir un objectif, qui sera évalué et récompensé. Les opérateurs métiers deviennent ainsi acteurs de leur propre sécurité, laissant aux techniciens la gestion de la supervision, de la business intelligence adaptée à la cyber-sécurité, de la surveillance et des aspects techniques.   

La cyber-sécurité d’une entreprise peut être efficace et adaptée aux problématiques des métiers si elle est d’emblée intégrée au développement des outils et des processus, et non plus considérée comme une fonction qui s’ajoute en aval. Implémenter ce nouveau paradigme dans les entreprises passe par un changement culturel et une approche systémique de la sécurité informatique. C’est ici que le management a un rôle à jouer : l’implémentation d’une authentique cyber-sécurité nécessite qu’elle devienne un objectif pour chacun, au même titre que les objectifs de qualité ou de performance au sein des entreprises.