Dans une société hyperconcurrentielle, les entreprises dépendent très fortement de leurs systèmes d’information et d’Internet. Confrontées à de multiples attaques cybercriminelles, elles doivent relever le défi de la sécurité numérique. Dans « La sécurité numérique de l’entreprise », Pierre-Luc Réfalo donne quelques pistes afin que les entreprises puissent se protéger. (Extraits 2/2).
[image:1,l]
Comment démêler les questions sociologiques des évolutions technologiques et des enjeux juridiques ? Quels sont les risques majeurs et comment évaluer les menaces pour mieux se protéger ? Comment peuvent s’adapter les décideurs ? Comment doivent évoluer les pratiques de management en termes de gouvernance et d’économie de la sécurité globale ou d’implication des utilisateurs ?
Dans La sécurité numérique de l’entreprise, Pierre-Luc Réfalo analyse l’ensemble des démarches et outils indispensables pour un management innovant de la sécurité numérique. Il apporte aussi aux entreprises les clés pour une meilleure protection de l’information sensible dans un environnement complexe. Son approche stratégique est avant tout pragmatique, pour permettre de mieux maîtriser les risques numériques et d’anticiper les cyberattaques.
Extraits de La sécurité numérique de l’entreprise : L’effet papillon du hacker, de Pierre-Luc Réfalo
Chute du mur de Berlin et avènement d’Internet, mondialisation et émergence des BRIC (Brésil, Russie, Inde, Chine), révolutions arabes, terrorisme et crime organisé créent un monde plus dangereux, plus instable, plus « incertain » surtout. Les questions de libertés et de responsabilités, les notions de propriétés et d’actifs ou de patrimoine sont des motifs de lutte et de conquêtes pour certains, des idéaux à abattre pour d’autres. La conjonction de ces phénomènes a abouti au concept de « sécurité globale », lequel tend à remodeler les stratégies, la gouvernance et les plans d’action. La « sûreté[1] » (concentrée sur les aspects humains et la malveillance) et la « sécurité[2] » (s’adressant d’abord aux systèmes et aux erreurs/accidents/catastrophes) tendent à se rapprocher voire à fusionner. En clair, sécurité ou sûreté, peu importe à l’heure de la sécurité globale !
Si la « sécurité » traduit donc une « situation dans laquelle quelqu’un ou quelque chose n’est exposé à aucun danger, à aucun risque[3] », en particulier d’agression physique, d’accident, de vol, de détérioration, la « sûreté » définit « l’état de quelqu’un ou quelque chose qui est à l’abri, n’a rien à craindre ». Dans la pratique, on assimile souvent les questions de sûreté à la gestion de la malveillance plus que des accidents. Dans le transport aérien par exemple, la sûreté (traduite en security) s’exerce lors de l’embarquement (fouilles, scans, contrôles d’identité) alors que la sécurité (traduite en safety) se concrétise par les consignes à appliquer en cas d’accident ou de crash (à bord et par les hôtesses). Pourtant, sécurité et sûreté se recouvrent lorsqu’elles s’adressent globalement à la protection des personnes et des patrimoines, dans leur ensemble.
Pour sa part, la sécurité numérique se situe à la conjonction d’un double phénomène : la dématérialisation des processus et de la société (e-business, e-commerce, e-administration, e-santé, e-loisirs, etc.) qu’il faut « sécuriser » comme dans la vie réelle, et la valorisation des actifs immatériels (informations stratégiques, données à caractère personnel, innovations, marques, savoirs, savoir-faire, etc.) qui sont désormais largement numériques, et qu’il faut « protéger » parce qu’ils ont de la valeur.
Si le terme « sécurité » est systématiquement utilisé dans les systèmes d’information et Internet, la sûreté l’est aussi parfois. Sûreté de l’information et sûreté numérique sont aujourd’hui présentes, souvent dans l’industrie.
On entend généralement par sûreté de l’information la mise en place de processus de protection de l’information confidentielle face à des menaces malveillantes et d’origine externe (même si les collusions et attaques internes sont possibles). Des directions et des équipes ont été mises en place dans plusieurs secteurs afin de s’occuper de « sûreté de l’information » ou de « sûreté du patrimoine informationnel ». Cette démarche a sans doute été contrainte par une séparation historique entre l’information (immatérielle) et l’informatique (matérielle) d’une part, et entre la gestion des risques accidentels (en particulier pour la sécurité des SI) et celle de la fraude/malveillance (souvent en lien avec la sûreté) d’autre part.
Mais désormais l’information est quasi totalement numérique et intégrée à l’informatique. Et inversement, l’informatique gère, pilote, contrôle les activités physiques et matérielles (processus industriels, équipements biomédicaux, systèmes de transports, usines, etc.). La sécurité numérique se diffuse alors également au sein des processus de sécurité industrielle et opérationnelle.
[1] . La sûreté est, de façon générale, un état de protection contre des dangers ou des menaces. Elle se focalise essentiellement sur la protection contre des menaces externes.
[2] La sécurité est l’état d’esprit d’une personne qui se sent tranquille et confiante (en anglais, security). C’est aussi le sentiment, bien ou mal fondé, d’être à l’abri de tout danger ou risque (en anglais, safety).
[3] 3. www.larousse.fr
