La sécurité de l’information, même quand elle s’appelait sécurité informatique, a de tout temps été considérée comme un impondérable obligatoire.
À être toujours considéré comme un centre de coûts, joint à un manque de sensibilisation, elle a souvent été négligée et considérée comme le « mouton noir ».
La sécurité de l’information se heurte en permanence à la cohorte des risques potentiels qui sont autant de fronts à protéger et à guerroyer l’assaillant : il y a les risques opérationnels, que sont les virus, les chevaux de Troie et les cookies [fichiers témoins] en quête d’informations chapardées, les attaques externes en déni de service, les tentatives d’intrusion de pirates informatiques, d’espions industriels ou commerciaux ou de pirates techniques; les risques fonctionnels, comme les inévitables pannes d’ordinateurs, les bogues de système d’exploitation et d’application, les erreurs impromptues des utilisateurs et les gestes inconsidérés dus à une documentation imprécise; les risques environnementaux, tels que les dégâts du feu et d’eau, les catastrophes naturelles, les dégâts de poussière, de fumée et de froid; les risques physiques, que sont le vol de matériel et de logiciels, la casse et le vandalisme; les risques comportementaux, comme les attaques internes par malveillance, la diffusion des mots de passe. La liste des risques est loin d’être exhaustive et s’allonge régulièrement.
« À chaque mal son remède »
Cela s’applique également à la sécurité de l’information. La manifestation de tout nouveau risque potentiel fait apparaître sur le marché plusieurs solutions pour chacun. Les organisations les acquièrent indépendamment les unes des autres. Même si cette pharmacopée est impressionnante, elle doit être consommée en suivant scrupuleusement la prescription de l’homme de science. Tous les remèdes en la matière ne sont pas totalement compatibles et certains présentent des effets secondaires. C’est le syndrome de « la sensation de protection absolue » qui laisse à penser à l’organisation qu’elle est parfaitement protégée, ce qui est encore plus dangereux que de ne pas être protégée et de le savoir clairement.
Être au fait de sa protection et en assurer la maîtrise, c’est disposer d’une vision globale de sa sécurité de l’information. Une telle vision doit montrer avec exactitude les zones protégées et surtout leurs limites exactes. Elle doit faire apparaître les zones qui se chevauchent et les petits interstices entre les champs de protection. Ces interstices, tout comme les chevauchements, sont autant de failles sensibles à la sécurité de l’information. Ce sont les portes d’entrée qui sont disponibles aux divers types de sinistres potentiels de l’organisation. Mais la base fondamentale de cette vision doit être la liste aussi exhaustive que possible des risques potentiels encourus. Cette liste doit comprendre les éléments nécessaires pour juger de l’impact de chacun des risques, les coûts et les délais à assumer, les expertises pouvant être perdues sans inconvénient majeur et les systèmes qui ne sont pas vitaux. Son but est de permettre une prise de conscience claire et détaillée de sa vulnérabilité, d’abord sur le plan qualitatif, puis sur le plan quantitatif avec les métriques. Ainsi, l’organisation pourra élaborer la vision globale de sa sécurité et de sa protection.
Un centre de profit
Les profits générés par la sécurité de l’information se comptabilisent par la suppression de pertes. Sans protection, l’information et les technologies de l’organisation subiront des pertes. Il ne s’agit pas de savoir s’il y aura des pertes, mais quand et où il y en aura. C’est le cumul des pertes évitées en acquis, en propriétés intellectuelles, en marchés, en informations stratégiques et en continuité d’opérations qui formera le montant des profits à mettre au crédit de la sécurité de l’information. Et tout cela, dans un environnement de risques, de conflits, d’attaques, de malveillances et de défaillances technologiques. Plus la sécurité de l’information est efficace, moins l’entreprise aura le sentiment que la sécurité fonctionne.
Si les organisations prenaient la peine de comptabiliser (d’additionner) la valeur de tous les montants que représentent l’ensemble des « non-dépenses » et des « non-coûts » (économies), car ils ont été épargnés par l’effet de la sécurité (toutes les pertes sauvées), alors la sécurité ne serait plus considérée comme un centre de coûts, mais comme un centre de profits. Tout l’argent mis dans la sécurité deviendrait alors un investissement et non pas une dépense sèche.
