Il faudra faire des choix …
Pouvez-vous expliquer ?

Par exemple, les tentatives d’évolution de la Sécurité SI vers l’Intelligence Economique (veille, protection et influence), la
sûreté de l’information et la protection du patrimoine (matériel et immatériel) restent inabouties et sont parfois dangereuses.
Des affaires récentes sont à ce titre symptomatiques. N’oublions pas aussi que dans le numérique, l’usage et le partage
supplantent largement la propriété. Que faut-il donc vraiment protéger à l’ère du numérique ? En particulier, en termes de
secret et confidentialité. Ainsi, l’émergence du Correspondant Informatique et Libertés crée autant de frictions que de
synergies entre la protection de la vie privée (conformité à la loi) et le business d’une entreprise « numérique »
(développement économique). Pour faire simple, les véritables enjeux de la sécurité numérique se concentrent autour de 4
mots clés : identité, accessibilité, confidentialité et traçabilité (avec de manière sous-jacente les questions de secret et de
preuve). C’est un domaine qui a son existence propre et qui continue à se développer en apportant des services transverses,
globaux et de plus en plus essentiels pour les entreprises et les administrations.

Que proposez vous ?

Rien de très innovant ici, plus des « aptations » (transaptation ou exaptation, selon les cas, décrites par Pascal PICQ dans
« Un paléoanthropologue dans l’entreprise » Eyrolles 2012) que certains ont déjà initiées. Globalement, je propose qu’une
fonction « gestion des risques numériques » soit clairement définie dans les entreprises de manière transverse, proche des
métiers et si possible, hors des DSI. La responsabilité de la sécurité numérique (opérationnelle) doit être clairement portée
par les fonctions informatiques et les fournisseurs de services IT. La fonction transverse ne serait alors plus « responsable ».
Elle apporte plutôt une expertise interne (et/ou externe) auprès des Directions des risques ou des Directions Sûreté en étant
plus proche des décideurs et des métiers. Les aspects stratégiques (menaces, technologies), sociologiques (comportements,
usages), réglementaires / normatifs (globaux, sectoriels), juridiques (contrats, engagements de services) et économiques
(dépenses, assurance) sont suffisamment importants pour être abordés de manière plus transverse. Car à l’heure du cloud
computing, de la mobilité, du big data et des médias sociaux, la sécurité numérique sera aussi de plus en plus intégrée dans
des services globaux et souvent externalisée. Au marché de faire réellement son travail avec des engagements de moyens
mais aussi parfois de résultat (protection des données à caractère personnel, infrastructures critiques, valeur probante de
documents ou de trace, etc.). Cette évolution devra être menée de façon très pragmatique et certainement sectorielle.

Votre conclusion insiste sur les limites : des pouvoirs, de la réglementation et de l’intégration. Pourquoi ?

Cette notion de limites s’est imposée au fil de la rédaction de l’ouvrage tant le domaine est devenu vaste et complexe. Elles
synthétisent l’approche « recentrée » que je propose. Tout d’abord, alors que l’on dénombre plus de 20 associations,
commissions et groupes de travail (autant utiles que légitimes) traitant plus ou moins de sécurité numérique, le secteur
gagnerait à être mieux structuré autour d’instances plus représentatives des professionnels des entreprises. D’autre part, trop
d’énergie a été et reste consacrée aux « politiques sécurité » qui n’apportent plus grand chose, si ce n’est des référentiels
d’auto-évaluation voire d’audit / conformité. Font-ils vraiment progresser la sécurité réelle ? L’acculturation du
management et des métiers (sur les usages et les risques) doit précéder la réglementation, au moins l’accompagner et non
plus lui succéder. Tous les contenus, la pédagogie et les outils sont disponibles mais restent trop peu exploités. Enfin, sur
l’intégration, on se situe plus sur le moyen / long terme. Comme pour la sécurité routière, on n’achètera plus les outils et
services de sécurité qui seront intégrés dans des technologies de base, des offres d’opérateurs, d’hébergeurs et de platesformes
de service. Mais cela aura une limite qui remettra plus que jamais la sécurité réelle dans les mains de l’utilisateur.

D’où l’importance de l’acculturation qui doit aussi porter en elle des messages forts de dissuasion (via des contrôles
renforcés et transparents) comme de motivation (via des indicateurs clairs et pertinents).

L’auteur : Pierre-Luc REFALO possède plus de 20 ans d’expérience en Sécurité numérique dans le conseil et en entreprise.
Ancien représentant au G8 et à la Commission Européenne sur le cyber-crime, la vie privée et la signature électronique. Il
accompagne depuis 10 ans ses clients dans l’évolution de la gouvernance des risques numériques et l’acculturation des
acteurs. Il est membre du Comité de Pilotage des Assises de la Sécurité et des SI et auteur des Livres bleus publiés à cette
occasion depuis 2004. Contact : plrefalo1063@gmail.com