Le développement des usages digitaux fait de la sécurité informatique un enjeu majeur, pourtant c’est le parent pauvre de la transformation digitale des entreprises. D’objectifs apparemment opposés, transformation numérique et sécurité informatique se rejoignent dans la hiérarchie des priorités des dirigeants. Car la sécurité n’est une notion objective qu’en apparence, sa perception dépend de l’éducation et de la sensibilité des décideurs.
Invitée récemment par l’ISSA France, chapitre français de l’association internationale référente sur la sécurité informatique, à partager mon expérience de transformation digitale en entreprise, j’ai eu la surprise de découvrir un univers de métiers aux problématiques similaires aux miennes, alors que nos pratiques peuvent sembler s’opposer. D’apparence en effet, je suis du côté de l’essai rapide de nouveaux outils et usages, quand sécurité informatique implique contrôles et limitations. Mais en réalité, nous nous sommes retrouvés dans les difficultés liées à la transformation digitale : difficultés à faire connaître et comprendre de nouveaux métiers, difficultés à trouver sa place dans l’organigramme des fonctions installées et des pouvoirs acquis dans l’entreprise (au sein ou à côté de la DSI pour les RSSI), difficultés à créer de nouveaux modes collaboratifs entre équipes métiers et équipes informatiques, et difficultés à être considérés comme des partenaires des directions générales qui subissent plus souvent qu’elles ne chérissent la transformation digitale et ses problématiques associées.
Les enjeux de cyber sécurité, régulièrement à la une des médias professionnels ou grand public, semblent pourtant factuels et rationnels, mais ce n’est pas l’expérience vécue par les divers spécialistes que j’avais devant moi : consultants, responsables de sécurité informatique, juristes, avocats, responsables de médias ou d’agences de RP spécialisés…
Quel est le problème ? D’où vient-il ? Faut-il le résoudre ? Comment ?
Quel est le problème ?
La sécurité est souvent le parent pauvre de la DSI et des entreprises alors qu’elle est au cœur de la transformation digitale et de la performance des entreprises.
Il suffit de lister quelques usages en vrac liés à la transformation digitale des entreprises pour se rendre compte, si ce n’était déjà fait, de leur indissociabilité d’une politique de sécurité informatique : BYOD (Bring You Own Device), Cloud « sauvage » et personnel (partage de fichiers / Dropbox, Google Docs, etc.), autonomie d’administration des postes des utilisateurs (qualité des mises à jour, usage personnel des ordinateurs/tablettes/smartphones, téléchargement de contenus, etc.), télé-travail / connexions à distance / VPN, autonomie des métiers vs contrôle / collaboration avec la DSI, applications collaboratives… et j’en passe.
Pourtant, peu d’entreprises (hormis celles dans des secteurs critiques, je l’espère pour elles :)), semblent avoir une véritable prise de conscience de l’importance du sujet, malgré les scandales réguliers dont les médias se font l’écho, notamment dans le piratage de données. Certaines décisions stratégiques semblent même prises à l’encontre du bon sens de base (le stockage de l’ensemble des données d’une entreprise au même endroit, par exemple), et les DSI sont souvent les empêcheurs d’avancer en rond des métiers et du marketing (DSI et CMO peuvent-ils travailler ensemble? s’interroge le Monde informatique).
Quand on voit l’impact que peuvent avoir des défaillances majeures de sécurité sur la performance d’une entreprise (exemple Ebay), la confiance que ses clients placent en elle (tous les objets connectés ont déjà été piratés), ou encore sa compétitivité internationale, on est en droit de s’interroger…
D’où vient le problème ?
Ma conviction : la sécurité n’est pas une notion objective, c’est un sentiment éminemment subjectif. Le traitement des problématiques de sécurité en entreprise est fortement corrélé à l’usage et à la sensibilité des décideurs à ce sujet.
Mon analyse de la source du problème est toute subjective et ce n’est pas une réponse technique de spécialiste, elle est bien sûr ouverte à débat. Je me la suis forgée à force d’observer des cas et situations d’insécurité en entreprise absurdes d’apparence (fort décalage entre l’importance objective d’un sujet et l’investissement temps/argent/compétences alloué), mais très logiques quand ils étaient mis en perspective de l’échelle de valeur du ou des dirigeants. Je précise qu’une grande partie de ces observations a été faite dans un univers de PME, d’ETI, d’entreprises organisées en réseaux… et ne s’appliquent peut-être pas à toutes les tailles d’entreprise ou secteurs (quoique mes camarades du Security Tuesday semblaient abonder dans mon sens).
Une grande partie des décideurs actuels n’est pas technophile, et contrairement à la finance ou au droit, ils n’ont généralement aucune notion d’informatique, ne l’ont pas apprise à l’école, et n’en font pas un sujet de conversation valorisant entre pairs. C’est un sujet obscur et technique réduit à un rôle de tuyauterie qui doit fonctionner comme fonctionne l’ascenseur, mais dont on n’imagine pas devoir s’y intéresser pour pouvoir prendre des décisions stratégiques en connaissance de cause, avec un impact potentiellement majeur sur la marche des affaires et de l’entreprise. Combien de projets d’ERP ont englouti des millions d’euros et d’heures de travail inutiles, pour que l’entreprise n’en tire aucune conclusion et reproduise quasiment à l’identique les mêmes erreurs dès lors qu’on a changé le look & feel des projets et qu’on les a nommés réseaux sociaux, sites e-commerce ou programmes CRM ?
C’est exactement en cela que la sécurité informatique rejoint les rangs de tous les problèmes liés à la transformation digitale : à la racine, bien souvent, la perception qu’en ont les décideurs et les signaux contradictoires qu’ils envoient, entre discours d’adhérents et décisions d’indifférents…
La sécurité informatique est ainsi traitée de manière très irrationnelle, bien souvent, car on ne protège que ce qui a de la valeur pour soi, et le système de protection choisi doit lui-même être valorisé pour qu’on y investisse. Mettre des archives imprimées dans un coffre-fort, c’est concret, on peut en comprendre les risques et les avantages facilement même si on ne travaille pas dans une banque. Mettre des données dans le cloud, cela reste tellement virtuel pour qui ne pratique pas Internet du matin au soir (et encore !)… Vaut-il mieux investir dans des systèmes que peu comprennent et manipulent pour un risque somme toute tellement virtuel lui aussi, ou dans de nouveaux bureaux modernes et confortables que tout le monde pourra apprécier ?…
Faut-il s’attaquer à cette situation, ou suffit-il de s’y résoudre ?
Il ne s’agit pas de céder au tout sécuritaire mais de comprendre les enjeux et les impacts sur le développement de l’entreprise, pour éliminer l’obscurantisme des prises de décision et pérenniser l’activité.
L’informatique est devenue tellement omniprésente dans l’entreprise qu’elle est sous-jacente à de nombreuses décisions, quand elle n’est pas au premier plan. Or comment prendre ces décisions en bonne connaissance de cause, si on ne s’intéresse pas a minima aux enjeux et risques associés ?
Prenons pour exemple des questionnements très actuels que tout dirigeant peut avoir à traiter, ou sur lesquels il doit arbitrer, ne serait-ce que pour signer le chèque ou pas :
« Faut-il basculer sa messagerie ou son ERP dans le cloud ? Faut-il basculer entièrement sa messagerie et ses applications bureautiques chez Google ? Qu’est-ce qui est plus sécurisé, les serveurs d’un leader étranger ou les fermes régionales ?.. etc., etc. ».
En fait, les questions se posent-elles vraiment en ces termes ? Ou uniquement en ces termes ?
Comme dans de nombreux domaines, la meilleure façon d’aboutir à la bonne décision est l’écoute des experts, et l’arbitrage du bon sens en regard de la stratégie de l’entreprise. Malheureusement la réalité est souvent différente : les paroles d’experts sont noyées au milieu des points de vue très variablement éclairés des uns et des autres, et l’arbitrage final se prend au regard de l’idéologie dominante. Le bon sens ne revient au-devant de la scène que quand l’argent a été mal dépensé…
Comment changer, vers quel modèle tendre ?
Le RSSI pourrait prendre pour modèle et partenaire la direction juridique, un partenaire écouté de la DG qui éclaire les décisions sans entraver la marche de l’entreprise. C’est un chemin d’ouverture vers les autres métiers, de communication et de vulgarisation des sujets, et de collaboration sur des projets moteurs pour le développement.
De mon angle de vue non technique, la posture et la stature de la direction juridique me semblent être un modèle intéressant à suivre pour les responsables de sécurité informatique. Dans les entreprises matures sur le sujet, on ne conçoit pas la direction juridique comme un empêcheur de tourner en rond mais plutôt comme un protecteur de l’entreprise qui l’aide à appréhender au mieux les risques et à les prendre en connaissance de cause. On peut faire activement appel à l’expertise et à la créativité technique de la direction juridique pour résoudre au mieux des problèmes d’usages, de situations et de comportements.
Cela signifie un gros travail de communication sur la sécurité informatique, au sens vulgarisation et évangélisation auprès des directions générales et des directions métiers. Communiquer auprès des dirigeants doit se faire sous l’angle de la performance, de la compétitivité et de la pérennité de l’entreprise, quand la collaboration avec les équipes métiers peut se construire autour de cas et de best practices internes autour de projets communs. Les approches de gamification peuvent également s’avérer intéressantes dans le cadre d’actions de sensibilisation auprès de l’ensemble des collaborateurs.
Aux dires des experts que j’ai interrogés, la piste la plus intéressante qui se dessine aujourd’hui serait la création d’une direction centralisée des risques, qui regrouperait en son sein l’ensemble des experts du sujet réunis autour d’un but commun qu’ils soient d’origine métier juridique, technique…
Pour aller plus loin et mettre tout de suite en œuvre ces préconisations d’échange et de vulgarisation, 2 interviews fort éclairantes sur les enjeux de la sécurité informatique avec des experts techniques et juridiques du sujet :
- Diane Rambaldini et Hadi El Khoury, co-fondateurs de l’ISSA France
- François Coupez, Atipic Avocat, spécialiste des NTIC et des sujets de sécurité