La Culture “ sécurité ” ou comment jouer à se faire peur ?

Une entreprise ou un directeur des systèmes d'information saura limiter considérablement la potentialité d'occurrence réelle du risque, comme ses impacts, en multipliant les mesures de sécurité (prévention et protection). Il se pourra que par la suite, l'un ou l'autre s'interroge sur l'utilité de la solution mise en place, sur ce qui se serait passé s'il n'avait rien fait. On ne le saura évidemment jamais !

Développer la culture du risque auprès du grand public

Appréhender cette culture du risque est abordé par le livre bleu des Assises de la sécurité 2009. Ce document s'appuie sur les résultats d'une enquête réalisée par Hapsis entre juin et juillet 2009 pour le compte du Cercle européen de la sécurité, et menée auprès d'un panel de près de 240 DSI et responsables de la sécurité des systèmes d'information (RSSI). Elle confirme que chaque secteur d'activité possède sa propre culture des risques, elle-même influencée par la géographie. Elle atteste que les dangers qui nécessitent un réel développement de la culture du risque s'adressent prioritairement aux individus (moyens de paiement, vie privée, cyber-surveillance, enfance). Troisième enseignement, la fonction RSSI renforce actuellement son implication auprès des métiers et des projets “ business ”. Le rôle d'analyste-architecte de la sécurité devient également plus stratégique, prenant plus que jamais en compte la dimension économique. Quant aux opérateurs, aux banques et à l'Anssi (Agence nationale de la sécurité des systèmes d'information), l'enquête révèle que ce sont eux qui doivent développer la culture des risques auprès du grand public.Pour mesurer cette culture des risques, 57 % des personnes interrogées estiment que l'on doit s'appuyer sur la formalisation systématique de dossiers “ sécurité ” pour les projets SI. 53 % affirment qu'il faut passer par un apprentissage réel, par les collaborateurs, des bonnes pratiques de sécurité pour internet et la messagerie. 48 % préconisent un dispositif de tableaux de bord de maîtrise des risques, conformité et performance des processus sécurité. Enfin, 45 % prônent la mise en place d'un comité des risques et de la sécurité, présidé par un membre du comité de direction. Autre chiffre essentiel, 63 % du panel considèrent qu'il est important de mieux sensibiliser les individus aux risques et bonnes pratiques liés à internet et à la messagerie. Sous-entendu, améliorer les approches, les outils, et les contenus. A ce titre, plusieurs questions s'imposent : s'adresse-t-on à un parent-consommateur ou au salarié-citoyen ? Ne faut-il pas abandonner la persuasion et l'autorité au profit d'une pédagogie plus engageante, et inculquer des actes préparatoires, simples et peu contraignants ? Les sites d'information et de sensibilisation en ligne s'étant multipliés, quel bilan peut-on tirer de leur impact ? Enfin, les médias ne doivent-ils pas s'impliquer plus fortement, mais en résistant au marketing de la peur ?

Tenir compte de la dimension socio-économique

Pour conclure, les mesures de prévention et de protection, ainsi que les ressources humaines et les outils ont un coût de plus en plus important, globalement compris et accepté. Mais en temps de crise, les dépenses non vitales sont sous pression, et la menace interne augmente considérablement. La culture des risques doit donc inclure une dimension socio-économique. Il faut que les professionnels de la sécurité restent en alerte face à cette exigence et maintiennent l'exercice de style consistant à ne pas confondre risque, menace et vulnérabilité. Qu'ils identifient puis quantifient systématiquement, à l'intention des décideurs, les risques réels et résiduels. Le développement d'une culture du risque ne doit pas conduire à l'annulation du risque ! Elle doit surtout s'accompagner d'une culture de crise…