La sécurité de l’information est devenue réalité dès l’instant où les êtres humains ont eu besoin de préserver le secret de leurs messages. Gaius Julius Caesar, les Spartes et, avant eux, les Egyptiens utilisaient déjà le chiffrement afin de protéger leurs informations militaires. Le Roi Louis XIV avait recours à ce qu’on appelait le “Grand Chiffre” (mis au point par Antoine Rossignol) afin de créer des messages secrets tel celui qui, en 1890, allait finalement dévoiler – en partie – l’identité de l’Homme au Masque de fer.
La norme britannique BS 7799 fut créée en 1995 afin de formaliser les obligations et contrôles destinés à aider les entreprises à mieux gérer leurs risques et leur sécurité et à protéger correctement leurs informations. La BS 7799 a débouché sur la création de l’ISO 27001 ainsi que sur des normes, directives et codes de bonne pratique de même nature.
La somme de ces efforts consentis par le passé ont eu pour résultat que l’information, de nos jours, est considérée comme la ressource primaire de toutes les entreprises, partout dans le monde. Mais que nous efforçons-nous réellement de protéger lorsque nous sécurisons l’information. Quel est l’élément-clé ultime de l’entreprise?
L’argent est sans doute la première ressource qui nous vient à l’esprit. Pour de nombreuses sociétés, le lien direct entre argent et information ne cesse de se resserrer. Facebook, Google, Amazon, pour ne citer qu’eux, exploitent l’information afin de conquérir des parts de marché, mieux cibler leurs clients et, parfois, vendre les résultats d’analyses de données à d’autres sociétés. L’argent lui-même s’est dématérialisé à la faveur de l’apparition du Bitcoin. Et le Bitcoin n’est rien d’autre que de l’information.
Le deuxième élément est sans doute la réputation. Une société qui laisserait son système d’informations prendre l’eau et ses informations critiques fuir de toutes parts perdrait probablement la confiance de ses clients et partenaires, même si les données n’étaient pas considérées comme “privées”. La perte de données à caractère privé s’avérerait encore plus dommageable et impliquerait la faillite de nombreuses sociétés. Le Règlement général sur la protection des données (en anglais GDPR, General Data Protection Regulation) qui s’annonce exposera des sociétés faisant preuve de négligences à des sanctions sévères.
Le troisième élément-clé est sans doute la mise en conformité légale. En tant qu’entrepreneurs, nous devons faire face à de nombreuses obligations légales très strictes, ayant des effets contraignants pour certains secteurs tels que le pharmaceutique, le médical et le bancaire. La perte d’informations ou leur destruction peut conduire à des procès en dommages-intérêt ou diffamation.
Mais toutes ces perspectives (information, argent, réputation, obligations légales) convergent vers un seul et même point qui, au final, sera le réel bénéficiaire ou la victime ultime de ces 4 éléments. Ce cinquième élément, c’est vous, l’individu. Eh oui! Nous avons tendance à oublier la chose la plus évidente dans notre vie professionnelle débordante: la seule chose que nous voulons réellement protéger est nous-même. Aucune société, aucun système, aucun argent, aucune information, aucune réputation et aucune loi n’aurait une quelconque utilité, voire même la moindre existence sans vous, les individus. Oui, il y a bien un homme (une femme) derrière la machine.
C’est la seule et unique chose que je garde à l’esprit lorsque je me demande “Pourquoi diable est-ce que je déploie autant d’efforts pour protéger ces foutues informations?”
Frédéric Gelissen
ProcSima
Frédéric Gelissen est expert en gouvernance, management des services et sécurité
1 commentaire
Envie d’apporter votre voix dans le débat ?
Bonjour Frédéric
Vous avez tout à fait raison… et on n’y fait pas toujours attention.
Si l’entreprise, suite à un problème de sécurité qui touche aux rois éléments que vous citez, doit réduire ses activités ou fermer, ce seront les travailleurs qui paieront… sans oublier les clients qui devront se tourner vers d’autres fournisseurs (fiables? plus intéressants au niveau coût?) et les fournisseurs vers de nouveaux clients.
Je travaille , pour les entreprises, avec une liste de 36 ‘Enjeux’ déclinée à partir des deux listes de critères présentes dans l’Annexe B de la norme ISO/IEC 27005 (Gestion des risques de sécurité de l’information) agrémentée d’ajouts provenant des conséquences prises en compte pour les risques opérationnels (les risques informationnels sont, par nature, opérationnels).
Cette liste est réduite à 18 enjeux pour des personnes.
La liste pour les entreprises peut être déclinée en impacts sur les personnes si les données à caractère personnel sont divulguées, volées, abusées, etc.
Dans les études des risques (trop souvent ‘informatiques’) on oublie trop souvent « le stupide interface entre le clavier et l’écran »!
Cordialement
Jean-Luc Allard
Expert en management et gouvernance de la sécurité de l’information
Expert belge auprès de l’ISO (normes 2700x)