En cybersécurité on entend souvent dire que « la principale vulnérabilité se situe entre le siège et le clavier ». En effet, les attaquants exploitent souvent les erreurs commises par les individus et également les vulnérabilités des organisations. En outre, pour que les dispositifs de protection et les procédures mis en place soient vraiment efficaces, le personnel doit se sentir impliqué et les utiliser correctement.
Or, ces faiblesses socio-organisationnelles sont analogues aux circonstances de certains accidents observés dans l’industrie. Ainsi, ce secteur a dépassé depuis plusieurs décennies l’étude des événements selon les facteurs technique, humain, procédural et environnemental, pour s’intéresser désormais aux causes dites « systémiques ». Une méthode d’analyse des accidents consiste à travailler à partir du modèle de défense en profondeur théorisé par le Pr. James Reason pour comprendre les conditions préalables et trouver les dysfonctionnements cachés au sein de l’organisation. Cette approche décrit le mécanisme d’accident par un élément déclenchant qui trouve un cheminement possible au travers des barrières de sécurité successives (flèche rouge ci-dessous) en raison de l’addition de vulnérabilités latentes (défaut d’organisation, décisions hiérarchiques faillibles, mauvais traitement de signaux précurseurs) et patentes (actes non sûrs, défaillance d’un équipement).
Défense en profondeur (d’après James Reason, Human error 1990)
La cybersécurité n’échappe pas à ce principe de « défense en profondeur », et le mécanisme des cyber-attaques présente une similitude avec celui des accidents industriels. Par exemple, une mauvaise prise en compte d’événements précurseurs ou une sensibilisation insuffisante du personnel sont autant d’éléments que l’on retrouve de façon récurrente dans le contexte d’attaques informatiques.
En conséquence, comment exploiter les enseignements issus de l’industrie pour renforcer la cybersécurité notamment en s’appuyant sur les comportements individuels et collectifs et en travaillant sur les FOH (facteurs organisationnel et humain) ?
La mise en place d’une « organisation apprenante »
Un des premiers leviers développés pour la maîtrise des risques industriels est la mise en place d’un système de gestion du retour d’expérience (REX) et la construction d’une « organisation apprenante » sur cinq points essentiels :
- Un engagement du niveau de la direction définissant la politique REX, les moyens techniques et humains, les seuils de détection et les modes de report des événements, des garanties sur la « non-punitivité » de l’erreur),
- La promotion d’une culture « déclarante » des erreurs, obtenue par un climat de confiance, changement sociologique au sein de l’entreprise qui permet de passer du « Qu’est-ce que je risque à en parler ? » à « Que risquons-nous si je n’en parle pas ? »,
- L’utilisation du principe de subsidiarité car, face à l’accroissement de la remontée d’information généré par ce système, pour continuer à détecter « le signal utile dans le bruit de fond » les dirigeants doivent laisser traiter les incidents au bon niveau de responsabilité,
- L’animation du système par des revues systématiques et des actions correctrices pour maintenir la motivation du personnel à reporter les erreurs en produisant des effets concrets et perceptibles,
- L’ajustement des seuils de détection d’événements et la diffusion des bonnes pratiques pour entretenir la dynamique du système lorsque la sécurité s’améliore. Cela permet d’éviter le paradoxe des systèmes « ultra-sûrs » ne générant plus d’incidents significatifs avec le risque de voir le système REX s’éteindre.
La cybersécurité s’est parfaitement appropriée les points 1 et 5 : PSSI, chartes, promotions des bonnes pratiques sont en place. Les points 3 et 4 restent à consolider : L’organisation SSI possède bien des relais locaux, mais l’expertise est souvent centralisée. Des audits et des contrôles sont effectués mais des lacunes sont observées dans le suivi et la mise en œuvre d’actions correctrices (hors SMSI). En revanche, un effort important reste à accomplir sur le point 2 : Les procédures de gestion des incidents existent mais le milieu de la cybersécurité doit encore développer une réelle « culture déclarante » au sein de l’entreprise.
Une claire séparation des pouvoirs
Pour renforcer la sécurité une claire séparation des pouvoirs est également à instaurer, entre autorités régulatrices (fixant lois, règles ou principes organisationnels), organismes de contrôle, et exploitants (ou fournisseurs de service).
La séparation des pouvoirs
Cette disposition permet des prises de décision éclairées par des points de vue extérieurs, parfois divergents, et d’éviter la « consanguinité » dans les processus de décision et de gestion des risques. En cybersécurité ce point reste à consolider, les autorités régulatrices devant davantage déléguer, à terme, la certification des systèmes et des organisations à des organismes tiers et indépendants.
Vers une culture de sécurité intégrée
Les points précédents doivent être renforcés par l’instauration, au sein de l’entreprise, d’une culture de sécurité intégrée, ensemble de bonnes pratiques visant à réduire les risques de façon proactive ou réactive, construites collectivement en intégrant fortement le personnel d’exécution dans l’établissement des règles et procédures.
Une culture de sécurité intégrée
Dans cet ensemble le management fixe les objectifs et fournit à ses subordonnés les moyens matériels et humains d’agir en temps utile. Il crée également une organisation qui doit coordonner les activités de chacun, en profitant au mieux des qualités complémentaires des individus. Celle-ci sollicite le management qui est amené sans cesse à ajuster et décider (arbitrage collectif si nécessaire). L’organisation est vivante et doit avoir la capacité de réagir à toutes les situations, même imprévues, en faisant appel à l’intelligence collective et adaptative de tous ses membres pour rattraper des situations critiques. Les collaborateurs doivent saisir l’importance de leur rôle dans l’activité en cours ou dans les objectifs à atteindre. Avec un management de proximité qui donne du sens à l’action, ils seront plus efficaces, se coordonneront mieux dans l’organisation, et seront à même de prendre des décisions à leur niveau permettant en cela à l’organisation de mieux résister aux événements néfastes. Dans ce contexte, un équilibre subtil est à trouver entre la sécurité réglée (basée sur le formalisme, les procédures, les équipements et les automatismes) et la sécurité gérée (s’appuyant sur la capacité d’anticipation, la faculté d’initiative et d’adaptation des individus et de l’organisation).
Conclusion : Quelles pistes d’avenir pour la cybersécurité ?
Ces derniers points, relatifs à la culture d’entreprise et au bon équilibre « sécurité réglée – sécurité gérée », représentent l’état de l’art en matière de sécurité industrielle sur lequel travaillent, depuis bien des années, des organismes experts (ICSI/FONCSI, IMdR). Force est de constater que le milieu de la cybersécurité est encore peu impliqué dans ces réflexions, alors que l’information et les technologies associées doivent être considérées comme un actif stratégique de l’entreprise jouant un rôle de plus en plus important dans la maîtrise des risques. Un meilleur échange entre ces deux mondes constitue donc un enjeu de taille pour la cybersécurité dans les années à venir. Notons que cette question, abordée ici sous l’angle des cyber-attaques, serait tout aussi pertinente en ce qui concerne la continuité d’activité et les autres menaces environnementales.