le cancer de la non-sécurité au quotidien

Quel est le nouveau cancer des entreprises ? C'est la non-sécurité au quotidien.

De la même façon qu'un cancer s'installe dans la durée et qu'il est souvent provoqué suite à différentes actions (ou inactions) volontaires, la non-sécurité est un problème tout aussi insidieux.

"faire plus avec moins" ou "faire plus et plus rapidement" : les causes ?

Dans cette période économiquement mouvementée et pleine d'incertitudes, le mot d'ordre pour les gouvernements et entreprises est (grosso-modo, excusez-moi des approximations) de :

  • "faire plus avec moins"
  • ou alors "faire plus et plus rapidement"
  • un mix des deux étant parfois rencontré.

Tous les regards sont tournés vers ce qui génère du cash et ce qui permet de maintenir les actionnaires satisfaits. C'est parfois une question de survie pour les sociétés les plus fragiles.

Dans un tel contexte la sécurité va-t-elle payer un lourd tribut ? Va-t-elle être amputée de l'essentiel des moyens nécessaires ainsi que de l'attention qu'elle mérite pourtant ? Le risque est fort. C'est tout un débat mais ce n'est pas l'objet de cet article, bien que celui-ci tourne autour du sujet.

c'est quoi la "non-sécurité" ?

L'insécurité est un sous-produit de la "non-sécurité". Cette dernière est l'absence de volonté de faire de la sécurité.

Par "absence de volonté" il faut comprendre :

  • budget sécurité d'un "montant symbolique"
  • le sous-staffing des personnes compétentes en sécurité
  • l'absence de suivi des plans d'actions sécurité ou des plans d'actions sans cesse repoussés
  • on retrouve aussi le manque de compréhension élémentaire de la sécurité au niveau des dirigeants ou encore du middle-management

la non-sécurité au quotidien = cancer du fumeur

Avec le risque de faire crier des personnes, je ferai le parallèle entre le cancer des fumeurs et celui de l'absence (réelle) de prise en compte de la sécurité au quotidien dans les entreprises. Par sécurité au quotidien, il faut comprendre que celle-ci soit présente, à juste dose, dans les différents métiers, activités et systèmes.

Si vous me suivez, une entreprise qui ne fait pas de sécurité au quotidien c'est comme un fumeur accro qui crame son paquet par jour : le cancer va tôt ou tard se déclarer et à ce moment-là, ils s'en mordront les doigts.

le fumeur qui repousse un risque à long-terme pour un plaisir immédiat

Fumer provoque le cancer : tous les fumeurs le savent. Pourtant ils continuent à fumer et d'autres personnes commencent. Que se passe-t-il ? Ayant été moi-même fumeur pendant de longues années (mais j'ai perdu cette mauvaise habitude) je tenterai d'expliquer par différents points :

  • le risque c'est pour plus tard : comme le cancer prend du temps à se manifester (10, 15, 20 ans, ...), on se dit que "l'on verra plus tard" et on allume sa clope
  • on est déjà dans le système : "ce n'est pas une clope de plus qui va aggraver les choses", et on sort une blonde de son paquet
  • c'est trop bon : "la nicotine c'est trop bon" ou "il me faut ma clope, je suis en manque". On est accro donc on s'en grille une rapide. Arrêter de fumer est un vrai challenge et coûte parfois cher (patchs, chewing-gums, ...), il est plus simple de continuer

les entreprises françaises : des fumeurs en puissance

Mon analyse est que les entreprises Françaises ne sécurisent pas suffisamment leurs systèmes d'information. Si vous n'êtes pas convaincu, je vous invite à (re)-lire le guide "L’hygiène informatique en entreprise - Quelques recommandations simples" publié par l'ANSSI.

Au-delà du contenu de ce document (fort intéressant et plein de bon sens), le fait qu'il soit nécessaire, en 2012, de rappeler ces règles de base est un indicateur en soit : le niveau doit être bas car ces règles simples ne sont actuellement que très rarement en place (sinon, pourquoi serait-il nécessaire de les rappeler ?).

Quand on sait le type de "clients" dont l'ANSSI peut s'occuper directement il n'y a qu'à faire une "projection" sur la PME moyenne pour se faire peur...

l'entreprise minimise ses risques à moyen terme pour un bénéfice court-terme

Pour de nombreuses entreprises, le "plaisir" court-terme va prendre le pas sur le moyen/long-terme. Les décisions et investissements liés à la sécurité des systèmes d'information vont être dilués et diminués. Pour conserver bonne figure, la "sécurité cache-sexe" va prendre le devant de la scène afin que l'honneur reste sauf. On va donc retrouver les principes de décisions du fumeur :

  • le risque c'est pour plus tard : sans incident de sécurité important (du moins visible au niveau du comité de direction et ayant eu un impact prononcé financièrement ou sur l'image), beaucoup trop de dirigeants se disent "ça ne nous arrivera pas" ou "je serai déjà parti le jour où"
  • on est déjà dans le système : les investissements, ou l'attention des dirigeants, pour la sécurité sont depuis un certain temps en berne et aucun problème grave depuis ? Il n'y a donc pas de raison de s'inquiéter... On est dans le "je fume depuis 10 ans, ce n'est pas 1 ou 2 ans de plus qui vont aggraver les choses" donc "je continue à me taper mon paquet tranquille"
  • c'est trop bon : ne pas faire de sécurité (ou faire semblant, cf la "sécurité cache-sexe") cela permet de mobiliser ses équipes et moyens pour faire autre chose. Ne pas faire de sécurité c'est se poser moins de questions et simplifier les systèmes. Un système plus simple, c'est plus rapide et moins coûteux à mettre en place

les 40 règles de l'ANSSI : un peu comme les "5 fruits ou légumes par jour"

Cette conclusion n'en est pas une. J'ai levé un certain nombre de questions pour lesquelles les réponses restent à donner. Je ne suis pas convaincu que nous ayons toutes les réponses, du moins au moment où j'écris ces lignes.

Allez, je ne vais pas faire dans la demi-mesure : afin de contrer les problèmes de santé liés à l'obésité et aux maladies cardio-vasculaires, le gouvernement français a mis en place une politique basée sur le "5 fruits ou légumes par jour". Ça ressemble furieusement à de la sécurité au quotidien : appliquez dès maintenant les 40 règles de l'ANSSI pour prendre les choses du bon bout de la lorgnette.

Jean-François (alias Jeff)

crédit photo : © Štěpán Kápl - Fotolia.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens