Pour assurer la sécurité du digital, il faut agir sur l’ADN de l’organisation et de son écosystème. Un nouvel Avis d’Experts de la division Sécurité d’IBM.
Un soir, votre gentille moitié vous dit tout doucettement qu’elle aimerait bien découvrir le sud de l’Italie, ressentir les bienfaits d’un ailleurs, s’immiscer dans les joies d’une autre approche de la vie, contempler ces paysages si rudes mais tellement beaux et doucement comprendre comment les mariages fins et subtils d’une authentique huile d’olive locale et de légumes justes gorgés de soleil peuvent envoûter les palais des plus aguerris.
Bref, un peu de rêves, d’évasions et pleins de souvenirs en perspective…
Ayant bien compris toute la portée de la demande, vous organisez dès le lendemain une soirée YouTube spéciale Italie sur votre portable, avec quelques antipastis industriels sous cellophane bien choisis en guise d’amuse-bouches pour mieux faire passer la série de vidéos tremblantes du dernier globe-trotteur à la mode, naufragé volontaire dans un camping de Rimini sans eau chaude le matin, et relatant ses tribulations dans la circulation sur les grands axes routiers romains un jour de semaine sous la pluie aux heures de pointe…
Je ne sais pas vous, mais moi, je doute que la soirée soit un franc succès. A l’extrême, vous pourriez même être en droit d’anticiper une bonne petite crise conjugale dans les jours à venir…
Un jour, le grand chef de votre organisation vous dit qu’il aimerait bien ne pas avoir son nom à la une des médias suite à une histoire de vol de données, qu’il aimerait bien ressentir les bienfaits apaisants de savoir son capital digital sous bonnes clés, s’immiscer dans les conversations avec ses semblables sans avoir à y relater des tracas liés au numérique voire même, contempler avec empathie et bonhommie les malheurs des concurrents qui, les pauvres, ne peuvent afficher la même sérénité que lui dans le domaine…
Bref, un peu de calme, de contrôle et pleins de risques maîtrisés en perspective…
Ayant bien compris toute la portée de la demande, vous organisez dès le lendemain avec votre garde rapprochée un comité stratégique accouchant d’un magnifique programme plein de projets fait de changement réseau, d’acquisition d’EDR (Endpoint Detection and Response), de mise en place d’un SOC externalisé saupoudré d’indicateurs et autres KPI aux vertus revigorantes.
Je ne sais pas vous, mais moi, modulo la décision des grands financiers de la maison, je pense que ce dispositif a des chances d’être un franc succès. A l’extrême vous pourriez même vous mettre à rêver d’une promotion, qui sait ?
Et puis, et puis… patatras, WannaCry et NotPetya passant par là et, tel les cyclones Irma et Maria dans leurs courses destructrices, le système d’information est à l’arrêt et le grand chef autant dépité que livide voit les concurrents contempler avec empathie et bonhomie ses malheurs digitaux et, subrepticement, il les envie de les voir afficher cette sérénité dans le domaine…
Pourtant, vous aviez fait les choses comme elles se doivent d’être faites et votre plan était infaillible, non ? Qu’est-ce qui a donc cloché ? Où est le patient zéro qui pourrait donner une piste pour comprendre ?
Vous investiguez et vous trouvez, non sans mal, le poste de l’apprenti qui fait son BTS en alternance chez un sous-traitant œuvrant en vos locaux.
En bon geek de la génération Y, il a connecté son ordinateur portable personnel qu’il a lui-même configuré, a fait quelques modifications techniques un peu limites pour avoir d’un côté accès à l’univers étrange, sombre et plein de contraintes de toutes parts de l’entreprise et de l’autre, via sa clé 3G, à cette bouffée d’oxygène, pleine d’espaces de libertés et de fun à souhait qu’est l’accès au Web illimité et sans contraintes… Alléluia !
Alors, vous vous mettez à rendre des comptes et le grand chef, irrité d’avoir son concurrent qui lui rit au nez, vous passe un savon fait de questionnements sur l’argent dilapidé en vain dans des acquisitions d’outils manifestement inefficaces, l’incompétence notoire des équipes en charge de les exploiter et la présence néfaste de ces satanés sous-traitants qui ne font pas respecter les règles communiquées.
Il va sans dire que, votre carrière prometteuse vient d’en prendre un coup et que, à minima, vous allez devoir attendre un peu votre prime de résultat. Et, au pire, il serait bien de commencer à réfléchir à faire ses cartons.
Pourquoi ? Assez simple à vrai dire. Tel que l’a écrit l’anthropologue René Girard, l’organisation se cherche alors un fautif, un bouc émissaire facile, évident, consensuel qui sera à même de rasséréner le collectif à l’aune d’un mécanisme sacrificiel bien rodé d’une visible sanction : vous !
Réconfortant à souhait, cette façon de faire laisse pourtant un goût amer. Celui de ne pas avoir adressé une des racines du mal : l’ADN de l’entreprise en matière de risque digital.
Car, ne nous y trompons pas, il s’agit aussi de cela. Volet humain, social, sociétal, identitaire à une culture, la sociologie du risque propre à l’organisation est une sensation, un état d’esprit, bref, c’est dans son ADN. Et si l’ADN n’est pas bien organisé, s’ensuit une série de malformations et de dysfonctionnements plus ou moins graves.
Agir sur l’ADN de l’organisation (je n’aime pas réduire la sécurité du digital à la seule « entreprise », car les « méchancetés » du digital, contrairement au nuage radioactif de Tchernobyl, ne s’arrêtant pas aux frontière édictées par certains…), c’est prendre en compte le comportement des hommes et des femmes qui œuvrent en son sein mais aussi au niveau de tout son écosystème.
Electrochoc ou travail en profondeur
Alors, pour modeler cet ADN rebelle, deux scénarios parmi d’autres peuvent s’avérer utiles.
Le premier est celui de l’électrochoc, acte violent, visible et douloureux propre à souder un groupe autour d’un vécu commun et d’une sensation pénible collectivement partagée.
La vertu éducative de l’expérience est indéniable et cet évènement fédérateur, puisqu’il se nomme de la sorte, va non seulement ouvrir les yeux de ceux qui l’ont vécu, et ils vont être nombreux, mais aussi mobiliser rapidement et intensément les troupes dans une direction visant à une meilleure protection d’un capital commun.
Il n’y a qu’à se souvenir des longues files d’attentes des gens ordinaires allant spontanément donner leur sang après des attentats ou des catastrophes les ayant touchés en leur for intérieur.
Maintenant, et malheureusement, ça ne dure qu’un temps. Le soufflé redescend vite et la belle solidarité de l’instant va s’effacer à l’aune d’un quotidien propre à estomper cet élan d’empathie collectif.
Reste alors à travailler sur ce quotidien, lutter contre la charge anesthésique qui la compose et faire naître comme entretenir cette flamme collective de maîtrise du risque digital. C’est le second scénario.
L’idée est simple pour peu qu’on veuille se donner les moyens de la mettre en œuvre. Il s’agit de développer le capital social d’une organisation sur un thème donné.
Sa modalité de mise en œuvre est de faire en sorte que les personnes au sein de l’organisation relèvent la tête qu’ils ont dans le guidon… Simple mais ô combien difficile à mettre en œuvre.
Il est des entreprises où cela existe et qui, par exemple, synchronisent les pauses café pour que les gens se parlent et quand le risque digital est au menu des discussions, les messages ont une portée potentiellement grande.
D’autres organisations proposent des potagers sur le campus ou sur les toits où des groupes se forment autour de la culture des tomates et des carottes et lorsque l’un des jardiniers du jour parle de sécurité informatique, nul doute que l’auditoire, les mains dans la terre, en gardera bien plus que des miettes.
Cette cohésion sociale de l’organisation est la clé pour assurer la résilience de celle-ci face aux agressions de toutes sortes.
Développer le sentiment d’appartenance inter-générationnelle comme inter-services comme inter-hiérarchiques est une des clés pour augmenter l’état d’esprit du collectif face aux menaces en tout genre.
Maintenant, j’imagine bien la réaction du RSSI lisant les recommandations de la mission de conseil visant à élever le niveau de maturité de son organisation en matière de maîtrise du risque digital dans lequel figure une recommandation relative à la mise en place d’un potager collectif auquel il devrait personnellement s’engager à cultiver du cerfeuil et des choux…
Ceci dit, rien d’impossible si on veut bien sortir des sentier battus …même ceux du sud de l’Italie où votre tendre moitié aimerait aller faire un tour… un jour.