mercredi 17 février 2010

Le jeu et ses règles

Le CDSE (Club des Directeurs de Sécurité des Entreprises) vient de publier les actes de son colloque européen qui s'est tenu le 15 décembre 2009 à l'OCDE. Plongé dans leur lecture, je n'ai pas encore fini la cinquantaine de pages du rapport mais l'intervention du criminologue Alain Bauer est enthousiasmante.

Rappelant que les entreprises sont confrontées à des menaces réelles, organisées et de plus en plus ciblées, il note que celles-ci ont généralement un coup de retard en matière de gestion des risques tandis qu'en face, le crime est en mutation et que l'adversaire définit les règles du jeu. Une digression sur l'évocation de la mafia Turque qui a la particularité d'être également "prestataire de services" pour les autres mafia !

A. Bauer considère également que la conformité (référentiels normatifs de type "formule magique" ISO 27001 mais pas que) est un "drame [qui] empêche la réalité d'exister au nom d'une réalité virtuelle qui devrait être celle-là". Il y a beaucoup d'autres éléments significatifs mais je pense qu'il faut simplement retenir que si l'entreprise ne peut ni quitter la partie ni en imposer les règles, alors il faut les changer !

Pour se faire, les personnes en charge de la sécurité doivent s'inscrire dans une démarche pro-active en développant l'analyse en amont afin d'anticiper les coups à venir. Protéger étant aussi anticiper, l'intégration d'un processus prospectif permettrait à l'entreprise d'infléchir certaines règles du jeu à son avantage. Un processus à définir de manière peu orthodoxe puisque s'appuyant autant sur l'innovation, une bonne dose de créativité et d'instinct, le tout combiné à une démarche d'I.E. appliquée à la sécurité de l'information. Il faut laisser de la souplesse et éviter les effets trompeurs de type ligne Maginot dans lesquels nous nous laissons choir chaudement au creux d'une sécurité qui n'est qu'apparente !

Le fil conducteur dictant cette profonde évolution d'usages dangereux car non remis en cause : comment faire évoluer régulièrement les dispositifs et processus de protection que j'applique ?
Comment rendre dynamique ma sécurité (et surtout pas sous le seul angle technique, restrictif à mon sens).

Le sujet est vaste et mérite plus qu'un simple billet posant la problématique. Là aussi, je vous ferai part de mes réflexions sur le sujet et apprécierai également les vôtres.

1 commentaire:

Anonyme a dit…

Super interessant!
C'est LA réflexion qu'il faut mener! J'attends avec impatience la suite!!!