Les possibilités offertes par le numérique dans le cyber espace sont en train de révolutionner la vie des entreprises en transformant leurs capacités dans le temps et dans l’espace. En offensif comme en défensif elles amplifient le champ des recherches, multiplient les capacités de stockage, accélèrent les processus d’analyse, et permettent l’immédiateté dans la diffusion à l’échelle nationale et international aux groupes et sociétés. Avec cette troisième rupture qui succède dans l’histoire de l’humanité, comme le rappelle Michel Serre, à l’invention de l’écriture puis celle de l’imprimerie, nous entrons dans une nouvelle réalité qui transforme fondamentalement notre environnement avec l’aide des nouvelles technologies.
En quelques années nous sommes passés de la sécurité du patrimoine matériel, qui exigeait du gardiennage des installations et des contrôles physiques, à la sécurité du patrimoine immatériel. Nous avons pris conscience que la matière grise allant des savoir faire aux brevets en passant par les formules ou les organisations était la richesse la plus spécifique de chaque entreprise. La numérisation des données, les capacités du big datas, la circulation instantanée de l’information sur l’internet, la surveillance des objets dans le web 3.0, bouleversent tous nos systemes et nous obligent à repenser nos méthodes et nos outils. Dans le même temps nous découvrons l’envers de ce décor paraissant idyllique : les outils ont des failles béantes, volontaires ou pas, que des professionnels mal intentionnés peuvent exploiter au détriment des entreprises et de leurs dirigeants.
Alors que la sécurité traditionnelle était une industrie de main d’œuvre, avec des responsables habitués à gérer les hommes dans une organisation, on est passé à une industrie faisant appel aux technologies de l’information les plus avancées pour répondre à un risque de malveillance devenu multidimensionnel. Ceci se complique par l’obligation de suivre un marché en pleine évolution où la détention du logiciel ou de l’outil le plus performant donne un avantage concurrentiel.
Nous sommes dans un environnement international dans lequel un certain nombre d’entreprises, d’états ou d’organisations criminelles n’hésitent pas à utiliser les technologies les plus avancées pour espionner les adversaires, pirater des informations, détourner des fichiers, ou pratiquer le chantage. Pour les contrer les cibles doivent être capables de se défendre avec les mêmes outils tout en bénéficiant de l’aide de leurs états dans le cadre d’un partenariat public privé. A tout ceci s’ajoute les attaques internes ou dans un cadre national pratiquées par des individus ou des entreprises qui ont oublié les règles de l’éthique et le respect de notre légalité.
Dans le domaine de la sécurité cette évolution impérative qui nous apporte des possibilités insoupçonnées et des problématiques nouvelles va nous obliger à affronter trois réalités. La fracture numérique entre ceux qui auront accès à l’information et les autres ce qui va bouleverser les rapports de puissance entre les enterprises. La perte de liberté individuelle par utilisation de toutes les possibilities de la cybersurveillance, des outils numériques d’identification de suivi et d’analyse du comportement sans oublier les réseaux sociaux. L’exigence d’identité numérique infalsifiable suite à la nécessité d’authentification comme conséquence de la suppression du contact direct remplacé par la liaison à travers des outils dont on ne connait pas l’utilisateur ou l’interlocuteur réel.
Face à cette évolution technologique et à la multiplicité des problèmes potentiels le directeur sécurité change de dimension. La diversité des risques de malveillance a conduit l’entreprise à donner à plusieurs entités des responsabilités en la matière : la fraude interne a été placée sous la responsabilité de l’audit interne, la lutte contre les intrusions dans les systemes informatiques au RSSI, et la gestion des prises d’otages au directeur sécurité. Ceci c’est rapidement révélé inefficace pour 3 raisons. Les risques de malveillance n’ont pas de frontières entre les fonctions de l’entreprise au niveau interne et externe ce qui rend le périmètre de responsabilité de plus en plus flou. Ils nécessitent des collaborations multidimensionnelles alors que chacune de ces entités fonctionnent en silos de manière verticale; Il est évident qu’au temps du web 2.0, alors qu’on parle de transversalité, les logiques de pouvoir et la vision à courte vue rendent difficiles les collaborations inter entreprises et avec les services de l’Etat.
Il est donc impératif de regrouper la gestion des risques entre les mains du directeur de sécurité. Ne pouvant tout savoir il devient un généraliste s’appuyant sur des experts qui doit bien connaitre son groupe, la gestion de crise, et la coordination multifonctionnelle. Sachant que les failles dans le dispositif de sécurité, tant au niveau de l’image que des secrets d’affaires, peuvent ruiner les entreprises, il doit avoir un positionnement proche de la direction générale et servir de conseil aux dirigeants. Il doit leur apporter la capacité de faire face à tous les types de situations engageant la sécurité de la société, de son personnel et de son environnement au niveau national et international. Comme le préconisait Tocqueville la comparaison avec ce qui est déjà fait à l’étranger nous fera progresser dans cette mutation nécessaire pour affronter le futur avec une garantie d’efficacité.
Alain JUILLET, Président du CDSE.