Pour Alain Juillet, Académie d’Intelligence Économique, Club des Directeurs de Sécurité des Entreprises, la sécurité ne se résume pas uniquement au monde physique et matériel. Il faut voir au-delà, et prendre également en compte la sûreté, qui englobe l’immatériel, l’environnement… L’ensemble doit, en outre, s’inscrire dans une vision à la fois défensive et offensive. Ce dernier aspect reste encore trop souvent négligé. Pourtant, même les plus « rigoureux » se doivent aujourd’hui de développer une sécurité et une sûreté offensives, comme défensives.

Nous vivons aujourd’hui un changement de monde, souligne-t-il. Les pays occidentaux perdent peu à peu le pouvoir au profit des pays émergents, notamment asiatiques (Chine, Inde, Japon, Corée du sud...). Ce pôle est d’ailleurs, à l’heure actuelle, beaucoup plus important que l’Europe elle-même. Forcément, nos marchés attirent ces pays émergents, qui souhaitent les conquérir avec, entre autres, des prix très compétitifs. Si les pays européens veulent rester dans la course, ils devront donc chercher de nouveaux relais de croissance, y compris dans l’exportation vers ces pays émergents. Il faudra compenser le faible coût de la main d’œuvre par une certaine valeur ajoutée, qui passera notamment par la technologie et l’innovation. Dans cette « bataille », la recherche et l’acquisition de données utiles, la synthèse et la compréhension de ces données dans un temps extrêmement rapide seront des facteurs clés.

Dans cette société mouvante, l’individu tend à devenir de plus en plus individualiste, mais aussi de plus en plus indépendant. En effet, le numérique contribue largement à l’explosion des entreprises, mais aussi à réduire le nombre de contacts avec l’administration, puisque nombreuses sont les démarches qui peuvent désormais s’effectuer en ligne. L’essor des réseaux sociaux, des forums... contribue, de son côté, à accélérer l’échange d’informations en court-circuitant les voies officielles. Dans le même temps, les outils évoluent sans cesse, rendant l’information accessible à tout moment, et ce quel que soit l’endroit.

Cette évolution du monde et du citoyen soulève un certain nombre de questions essentielles : comment stocker et traiter des volumes de données à la croissance exponentielle ? Comment stocker et archiver tout ce qui nous intéresse et surtout comment le retrouver ? Comment adapter les bases de données à ce nouveau langage ? Quid de nos outils ? Nous évoluons aujourd’hui dans un Cloud à sécurité incertaine. Quand est-il de la protection de nos SI et de nos données à caractère personnel, surtout dans un monde où les activités criminelles ne cessent de croître et investissent même notre sphère économique ? Sans compter le fait que les individus s’exposent de plus en plus sur la Toile… Pour Alain Juillet, il est illusoire de croire que nous aurons un jour un véritable droit à l’oubli sur Internet. À partir du moment où l’information a de la valeur, elle sera toujours au centre de toutes les convoitises.

Face à ces enjeux, il est essentiel d’apprendre à vivre dans un cadre défensif et offensif équilibré.
Enfin, c’est par la sûreté que nous allons gagner ou perdre les combats de demain, argue-t-il.

SSI : entre analyse de risques et hygiène informatique

Il est effectivement difficile de parler de dématique sans parler de sécurité, car elle traite de données sensibles, explique Loïc Duflot, ANSSI. Toutefois, prendre en compte la sécurité ne signifie pas non plus monter des usines à gaz. Mieux vaut privilégier en la matière les analyses de risques. Pour ce faire, les entreprises peuvent s’appuyer sur le RGS (Référentiel Général de Sécurité), une boîte à outils pour sécuriser son SI, mais aussi sur
les règles de base et d’hygiène informatique (cf guide de l’ANSSI). Il conseille également qu’elles aient recours à des prestataires de confiance, et optent pour des solutions et prestataires labellisés, conformes au référentiel. Enfin, pour tout ce qui a trait aux opérations d’externalisation, il recommande d’intégrer un certain nombre de clauses dans les contrats. Là encore, l’ANSSI a édité un guide qui pourra accompagner les entreprises dans cette démarche.

Vers une approche systémique de la sécurité…

Éric Gheur, FedISA Belgique, plaide, pour sa part, pour une vision différente de la sécurité, basée sur la systémique (cf. « Le macroscope » de Joël de Rosnay). Contrairement à la vision analytique, l’approche systémique privilégie une vision globale prenant en compte le contexte, mais aussi les interactions entre les différents éléments. Il existe, en effet, différentes façons d’appréhender le risque. La systémique n’hésite pas, pour se faire, à sortir du cadre de réflexion.

Pour lui, les modèles de référentiels classiques que nous connaissons (ISO, EBIOS…) sont tombés dans les pièges de l’analytique et créent donc des politiques vouées à l’échec.

Il conviendrait, aussi, de repenser la sécurité telle que nous l’appréhendons aujourd’hui, y compris dans le domaine de la dématique et de l’archivage électronique.

Les données personnelles au cœur du paradoxe…

Alain Bensoussan, Cabinet Bensoussan, s’est, quant à lui, attaché aux notions de gouvernance et de données personnelles. La protection de ces dernières est-elle une véritable nécessité ? Paradoxalement, le discours de l’archivage est anxiogène, basé sur les risques. Pourtant, chacun met aujourd’hui ses propres données en ligne sur les réseaux sociaux… N’est-il pas, en ce sens, paradoxal de vouloir enfermer les données alors que les individus exposent ces mêmes données sur Internet ?

L’enjeu de conservation, de gouvernance et d’archivage des données à caractère personnel, c’est avant tout la maîtrise des données faibles. Le défi de la sécurité des données à caractère personnel et de leur conservation n’est pas appréhendé de la même manière aux USA qu’en Europe. D’un côté, on a la « privacy », de l’autre l’ « Informatique et Libertés ». Le système américain est, selon lui, à ce jour beaucoup plus opérationnel en matière de données personnelles.

En France, la démocratie numérique repose sur l’article 1er de la Loi Informatique et Libertés : « L’informatique doit être au service de chaque citoyen (...) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Quand un individu met ses données en ligne, il faut voir le droit de la personne elle-même, pas uniquement la sécurité en tant que telle. Il va falloir que les informaticiens se mettent un jour sous le joug des droits de l’homme.

Malgré le scepticisme de beaucoup, le droit a l’oubli européen devrait être consacré dans le projet de règlement européen, qui entrera en vigueur dans deux ans, afin que le passé des individus ne vienne pas hanter indéfiniment leur futur. Entre le droit à l’oubli et le droit à la destruction, chacun doit se battre pour la souveraineté de ses données. Ce droit n’existe pas, mais les droits naturels naissent avant les droits légaux, conclut-il.