Cyberrisk Intelligence : la sécurité des données est une affaire de management

Publié le 16 mai 2013 par Pnordey @latelier

Dans une ère où les cyber-attaques sont monnaie courante, la sécurité informatique est devenue l’un des plus gros problèmes pour les entreprises. Pourtant, selon un chercheur américain, repenser la sécurité en terme de management serait une solution aux conflits numériques.

Pour Chris Bronk, Docteur en poste au James A. Baker III Institute for Public Policy Rice University, la question que devraient se poser les compagnies qui subissent des cyberattaques ne devrait plus être « comment est-ce arrivé ? », mais « pourquoi ? ». Comme il l’écrit dans son étude Risk-Intelligent Governance in the Age of Cyberthreats, la compréhension de la manière dont se sont produites ces attaques est importante, mais les raisons ayant mené à cette brèche de sécurité devraient être la première réponse à rechercher. Et, pour parvenir à une entreprise qui maîtriserait sa sécurité et sa stratégie numérique de la manière la plus effective possible, cela passe par la mise en place et l’adoption d’une « cyberrisk intelligence ». Cette culture particulière, propre à l’entreprise, vise à comprendre que les cyber-attaques ne dépendent pas seulement du domaine des technologies de l’information mais qu’elle concerne tous les départements d’une compagnie.

Repenser l’entreprise de l’intérieur

Le chercheur considère trois angles différents pour qu’une entreprise adopte une structure propre à développer sa perception des risques informatiques. Ces trois points de vue sont, en fait, une analyse de l’organisation d’une compagnie. Il s’agit de comprendre la place des technologies de l’information au sein de la compagnie des valeurs de la compagnie et savoir où se situent les nœuds dirigeants, ainsi que de reconnaître ses forces et ses faiblesses, c’est-à-dire la place qu’occupe une entreprise sur un secteur économique et géopolitique. C’est par l’analyse de ce dernier point qui permet de savoir où l’entreprise se situe, modelées par les évolutions du marché, les évolutions politiques et la compétition entre compagnies – s’apercevoir, par exemple, de ce qui pourraient gagner des entreprises rivales à retrouver telle ou telle information. 

Une culture d’entreprise adaptative

En quelques sortes, la cyberrisk intelligence est analogue aux pratiques de contre-espionnage, et construire un meilleur écosystème numérique, pour Chris Bronk, passe par l’adoption d’une meilleure « hygiène » : l’utilisation réaffirmée d’antivirus, de contre-mesures de sécurité contre le spam, tout ce qui va former une politique de défense au sein de l’entreprise. Cette question de l’auto-analyse est semblable à la réflexion de Dave Gray, auteurs de plusieurs livres sur l’innovation et le changement, qui notait lui aussi cette nécessité de renforcer la perception et la connaissance d’une entreprise. Chris Bronk remarque cependant que toutes les compagnies ne sont et ne seront pas égales dans cette réorganisation du management : les entreprises les plus grandes possèdent bien plus de ressources à allouer aux problèmes de sécurité que les autres.