Comment faire pour que le cyber soit le problème du dirigeant ?
Par Olivier Kempf le mercredi 28 novembre 2012, 21:59 - Cyber - Lien permanent
Si Vis Pacem assistait, l'autre jour, à l'après-midi organisé par la chaire "Innovation et régulation" sur les questions de cybersécurité. Il en a fait un excellent compte-rendu. J'ai picoré deux ou trois autres petites choses.
Le problème mentionné par SVP est celui de la responsabilité. Or, les dirigeants ne se sentent pas responsables. Au fond, ce n'est pas seulement que les DG doivent être RSSI, c'est surtout qu'ils ne sont pas sanctionnés lorsqu’il y a des erreurs : ni par les autorités (mais il n'y a pas de régulation), ni surtout par les conseils d'administration ou les marchés. Du coup, le critère du dirigeant est celui fixé par ses "seigneurs et maîtres" : et il est financier.
Regardons d’ailleurs nos systèmes d'information : ils ont tous été bâtis sur deux critères essentiels : la performance, et le coût. On pourra toujours discuter de la performance (techniquement pas toujours au rendez-vous, ainsi que l'a expliqué un autre intervenant); constatons également que les pertes SSI affaiblissent la dite performance. Quant au coût des matériels, on aperçoit ici encore le dilemme entre le consommateur (celui qui paye) et le praticien (celui qui utilise). Les arbitrages collectifs sont aujourd'hui régulièrement en faveur des consommateurs, aux dépens des autres acteurs. C'est vrai aussi des systèmes informatiques qui nous intéressent ici.
La solution apparaît logiquement : il faut ajouter un critère de sécurité. Ce qui appartient bien sûr au régulateur, donc l'autorité publique, État ou autre. Cela pose immédiatement un problème : celui de l'entrave à la libre concurrence. Toute régulation est toujours considérée comme l'entrave à la liberté d'un acteur : il peut être individuel (entrave aux libertés publiques de telle ou telle loi, cf. Hadopi) ou économique. Voici une difficulté générale posée par le cyberespace...
Enfin, et dans un tout autre domaine, je note un point très important, celui de la sécurisation de la supply chain. Aujourd’hui, l'économie mondialisée repose sur des chaînes logistiques de plus en plus performantes. Celles-ci reposent sur la maîtrise non des colis, mais de l'information accompagnant ces colis. Aujourd’hui, la logistique c'est d'abord de l'information avant d'être un objet transporté/stocké/transbordé/conditionné/livré... (je crois que nous en avions parlé lors du colloque sur la logistique). Or, personne ne s'intéresse à la sécurisation de cette information logistique, qui est pourtant le centre nerveux des entreprises....
O. Kempf
Commentaires
Le cyber n'est pas le problème, mais la solution!
Merci pour pointer toute l'importance de la traçabilité logistique. Le bon voyage de nos échanges en est désormais dépendant, et pas uniquement en termes de santé alimentaire..
et les Lotus IBM, SAP products, etc? C'est le facteur humain le plus dangereux, les gens qui parlent travail sur Facebook, les directeurs qui confondent le service informatique et un dépanneur de photocopieuses, les autorisations d'accès aux données sensibles délivrées sans précaution en interne, la peur d'être accusé de discrimination si on se méfie ouvertement de quelqu'un.
Bref, l'inconscience de la réalité du monde contemporain est la cause de pertes. On raisonne avec des schémas vieux de 50 ans, qu'on n'a même pas bien compris en leur temps.
"Il faut ajouter un critère de sécurité". Fort bien.
Cependant, lors de mon exposé fait hier chez EdF R&D, m'est venu le point suivant : la somme (si on peut dire) de la sécurité d'une application informatique (au sens large) et de son confort d'utilisation est constante.
Or, comme on ne vend bien (et vite, et cher) que ce qui est confortable (et top à la mode), on en déduit que la sécurité des applications informatiques a tendance à être, pour le moins, modérément prise en compte.
Le cercle est assez peu vertueux.
égéa : sécurité x confort = constante : TU as raison, il faut changer cette loi.