Home
L`équation de la sécurité, une analyse systémique des
Contents
1. d velopp sous la direction du Professeur Philippe Dumas directeur du laboratoire LePont l universit de Toulon et du Var Cette contribution montre que l approche crois e de la s curit par l intelligence conomique et l exp rience empirique permet d envisager le concept de s curit sous un angle global et tendant vers l exhaustivit Il n existe pas en dehors de l id al th orique de solution parfaite en mati re de s curit Nous aurions cet gard pu d velopper la notion de contrainte d usage v cu par les utilisateurs d information sensible au sein des services de renseignement Dewerpe 1994 pour d montrer que trop de s curit tue la s curit De m me certaines mesures de s curit ne sont pas conomiquement viables La notion m me de s curit nous appelle cependant beaucoup d humilit c est la raison pour laquelle nos propositions ne sauraient tre envisag es en tant que d marche axiomatique Par ailleurs les enjeux d une r flexion scientifique collective sur la s curit tels qu ils mergent dans l esprit du Centre de recherche en information et communication CRIC nous encouragent partager cette tude et soumettre son contenu la critique des experts Bibliographie Achard P Bernat J P 1998 L intelligence conomique mode d emploi ADBS Editions Archimbaud J L Longeon R 1999 Guide de la s curit des syst mes d i
2. 04 00 F Bulinge Isdm Novembre 2002 Levet J L Paturel R 1996 L int gration de la d marche d intelligence conomique dans le management strat gique Actes de la V me Conf rence Internationale de Management Strat gique Lille 1996 Marchesnay M Fourcade C 1997 Gestion des PME PMI Nathan Martre H 1994 Intelligence conomique et strat gie des entreprises La documentation fran aise Melot F 1999 S curit le premier guide pour l entreprise Editions Carnot Warusfel Bertrand Intelligence conomique et s curit de l entreprise in Entreprise et s curit Les cahiers de la s curit int rieure n 24 1996
3. conservation La mise en quation est ici toute relative et ne saura servir de base un syst me expert Pour autant travers le retour d exp rience relev dans le cadre de nos formations cette quation est appr ci e dans la mesure o elle pose les principes globaux d une culture de la s curit La s curit est pr sent e comme une somme de probabilit s plus ou moins complexes d occurrences dangereuses A chacune de ces Si Risque Analyse x Pr vention Niveau de s curit Risque occurrences correspondent des mesures ou des attitudes en fonction desquelles un quilibre minimum doit tre maintenu La notion d quilibre est purement conomique dans la mesure o la situation id ale serait de maintenir le niveau le plus lev de s curit mais quel prix Le chef d entreprise qui r pond des contraintes budg taires pr f rera maintenir l quilibre et calculer un coefficient de rentabilit au dessous duquel la s curit serait compromise L quation que nous pr sentons met en vidence un constat math matique il n existe pas de s curit absolue pour la seule raison qu il n y pas de risque gal Z ro Enonc de l quation sachant que le risque est le produit des vuln rabilit s par les menaces nous pr sentons le niveau de s curit comme la somme des rapports suivants Vuln rabilit s x Menaces et P attaque probabilit d occurrence d une a
4. en uvre d un concept de s curit globale au sein de l entreprise Abstract The security of the firm is generally considered as a job for specialists so that SIS appears as a major element dedicated to computer engineers Nevertheless we expect that security is complex and it must be considered as a holistic problem as far as it is a systemic and global concept The issue should be a cultural change of paradigm security is no longer a final object for specialists but a global permanent and universal philosophy for everybody inside the firm From this point of view competitive intelligence as a transversal and collective approach appears to be one of the best way to integrate a global security concept into the firm F Bulinge Isdm Novembre 2002 Introduction L analyse du risque en entreprise est une pratique d j ancienne chez les professionnels de l assurance Charbonnier 1990 de l informatique et chez les responsables de la s curit prise au sens le plus g n ral L ouverture d un champ de recherche dans ce domaine intervient a posteriori et ne saurait se d velopper sans tenir compte de l existant construit de mani re empirique au fil du temps et des exp riences souvent douloureuses une approche scientifique ne pourrait substituer la th orie la pratique sans risque de rejet de la part de la communaut professionnelle Le terme m me de s curit est polys mique il repr sente la fois un conc
5. entreprise pr alablement sensibilis s form s et soutenus dans leur d marche par un ensemble simple d outils et de supports p dagogiques 2 Un mod le rationnel d approche de la s curit L exp rience empirique de la s curit v cue notamment bord des sous marins nucl aires ou du porte avions Foch ou encore dans l environnement op rationnel complexe du contr le a rien nous a permis de d gager un certains nombre d l ments constitutifs d une quation de la s curit que nous proposons dans cette tude Parmi ces l ments nous distinguons a Les facteurs intrins ques ou extrins ques Les vuln rabilit s facteurs intrins ques faiblesse du syst me qui le rend sensible une menace Les menaces facteurs extrins ques dangers potentiels latents Les risques ils r sultent de l interaction entre les facteurs intrins ques et extrins ques Les attaques correspondent aux dangers r alis s Les sinistres ils sont le r sultat d attaques ayant atteint leur but Guinier 1992 cit par Barlette 2002 d crit le sinistre comme la r alisation d un risque b Les comportements mesures ou modes op ratoires L analyse elle marque la prise de conscience et la volont de mettre en uvre une politique de s curit Nous reprenons les d finitions de la vuln rabilit de la menace et du risque selon Archimbaud et Longeon 1999 cit s par Barlett
6. F Bulinge Isdm Novembre 2002 L quation de la s curit une analyse syst mique des vuln rabilit s de l entreprise vers un outil de gestion globale des risques Franck Bulinge Laboratoire LePont Universit de Enseignant chercheur en sciences de Toulon Var l information et de la communication BP 132 83 957 La Garde Cedex Responsable du projet EPICES EE Etudes prospectives en intelligence Tel 04 94 14 25 75 06 62 24 81 34 comp titive conomique et strat gique R sum La s curit en entreprise est g n ralement abord e selon des approches sp cialis es o la s curit des syst mes d information appara t comme une composante majeure d di e aux informaticiens Toutefois la probl matique de s curit est complexe et m rite selon nous d tre envisag e de mani re syst mique et globale approche que nous qualifions d holistique Il s agit en effet de traiter un ensemble de probl mes plus ou moins interactifs dont la r solution passe par une mise en synergie des comp tences L enjeu est avant tout culturel il proc de d un changement de paradigme la s curit n est plus un objet finalis r serv au sp cialiste de l entreprise elle doit tre envisag e dans une optique globale permanente et universelle par l ensemble du personnel De ce point de vue l intelligence conomique par son approche transversale et collective se pr sente comme une opportunit pour la mise
7. e l ment dimensionnel constitutif de l intelligence conomique et strat gique Dans cet article nous pr senterons la s curit dans le contexte de l intelligence conomique et strat gique puis nous mettrons en vidence son caract re syst mique avant de proposer une quation de la s curit comme base d une analyse globale de la s curit au sein de l entreprise Nous poserons enfin les bases d un outil simple de gestion du risque destin aux petites et moyennes organisation auxquelles nous nous r f rons Compte tenu de la nouveaut de ce champ de recherche il est difficile de se r f rer une bibliographie scientifique A l instar de l intelligence conomique laquelle nous nous r f rons nombre d ouvrages sont d abord l uvre de consultants de professionnels ou de journalistes Melot 1999 avant d tre celle de scientifiques reconnus Nous nous appuierons par ailleurs sur l exp rience acquise durant vingt ans au minist re de la d fense en particulier sur les b timents de la Marine nationale et dans le contr le a rien L approche synergique laquelle nous nous r f rons ne saurait en aucun cas exclure les approches sp cialistes En effet notre volont n est pas de nous approprier ce champ de recherche mais de l enrichir travers le partage et le croisement de regards diff rents Nous tenons enfin pr ciser que notre recherche dans le domaine de la s curit
8. e 2002 qui correspondent notre approche s mantique de la s curit La pr vention elle d coule de l analyse des vuln rabilit s et des risques et rel ve d une strat gie d vitement sensibilisation mesures pr ventives La protection elle tient compte de la r alisation possible du danger et tend circonscrire ou limiter le sinistre Elle proc de d une strat gie d affrontement La r action elle repose sur la capacit des acteurs r agir en situation d grad e que ce soit vis vis de circonstances pr visibles ou face des situations al atoires contingences 2 1 Typologie des vuln rabilit s Si l on reprend la d finition usuelle de la vuln rabilit Vuln rable qui peut tre atteint bless qui offre peu de r sistance Perm abilit aux menaces et aux dangers D faut dans la cuirasse Petit Robert on per oit la part intrins que de l individu ou de l organisation dans son rapport avec l environnement Les vuln rabilit s peuvent tre regroup es en fonction de leur origine On distingue ainsi les vuln rabilit s des personnes que l on retrouve en terme de s curit sous l appellation de facteur humain des organisations au niveau de la hi rarchie des relations internes externes de la culture des structures dans la conception des locaux des mat riels des installations strat giques ou op rationnelles travers les fac
9. e de la s curit qui se r f re simultan ment aux dimensions physique organisationnelle et logique de la s curit On pressent ici les liens indissociables entre une s curit physique d un bien immat riel et la s curit du patrimoine mat riel ou individuel de l entreprise Le rapport entre un incendie et la perte de donn es informatiques c est dire des connaissances formalis es et m moris es de l entreprise et leur impact sur l conomie de l organisation ne peut tre ignor au point de traiter s par ment les trois probl matiques La s curit ne peut par cons quent tre envisag e hors du cadre d une analyse syst mique 1 3 L entreprise et l intelligence du risque L entreprise et les organisations en g n ral sont confront es une difficult majeure d s lors qu elles tentent de mettre en place une politique de s curit l analyse du risque dans la logique de renforcement homog ne de la cha ne s curitaire doit tre exhaustive et globale Cela implique de bien vouloir prendre en compte la totalit des risques potentiels existants cela suppose galement une vision d ensemble des interactions possibles entre les vuln rabilit s les risques les menaces et les dangers Nous nous trouvons face une probl matique culturelle au terme de laquelle interf rent des syst mes de valeurs plus ou moins partag s par les acteurs d une organisation La culture s cur
10. ept une fonction un cadre d action Son champ couvre de multiples domaines qui vont de l information la protection des personnes et des biens La s curit comme champ de recherche peut tre consid r e selon deux approches La premi re consiste tudier la s curit en tant qu objet final dans la perspective d une sp cialit part enti re Une telle approche distingue des sous ensembles relativement ind pendants s curit des syst mes d information s curit incendie etc qui font d ores et d j l objet de formations sp cifiques Nous citerons cet gard le Centre national de pr vention et de protection comme organisme de r f rence en mati re de formation dans ce domaine L approche sp cialiste r pond assez bien la structure classique des grandes organisations par la cr ation de services sp cifiques et ou par la sous traitance des soci t s sp cialis es Pour notre part et dans le cadre de nos recherches sur les petites et moyennes organisations nous abordons la probl matique de s curit sous un angle plus global travers une double approche que nous qualifierons d holistique approche syst mique de la s curit tenant compte des interrelations entre diff rents l ments constitutifs le personnel les structures l organisation l environnement d un ensemble homog ne et vivant l entreprise approche synergique consid rant la s curit comm
11. itaire de l entreprise est une donn e variable qui s appuie la fois sur des niveaux de conscience de sensibilisation de formation voire d entra nement la gestion des risques La question de la l gitimit qui fait r f rence la compatibilit entre les buts personnels et les valeurs du milieu dans lequel on op re Marchesnay et Fourcade 1997 est essentielle dans la perspective d une adh sion de l ensemble des acteurs Le retour d exp rience et la mise en vidence des d ficits syst miques cindynog nes Kervern 1995 qui semblent ouvrir une voie int ressante dans le domaine de la sensibilisation d montrent clairement la n cessit d adopter une attitude la fois proactive et participative en mati re de s curit On pourrait cet gard opposer la dynamique apprenante d velopp e dans le concept d intelligence conomique Achard et Bernat 1998 au ph nom ne de refoulement cindynique qui consiste nier ou sous estimer le danger F Bulinge Isdm Novembre 2002 fr quemment observ dans les collectivit s humaines Barlette 2002 dans ses travaux sur la sinistralit met l hypoth se selon laquelle les entreprises per oivent mal leurs vuln rabilit s et les risques auxquelles elles sont confront es De fait nous postulons que l analyse du risque dans une perspective d adh sion collective au concept de s curit doit tre effectu e par les acteurs m mes de l
12. mpact des risques sur l entreprise L impact d un sinistre peut affecter l entreprise plusieurs niveaux personnel organisation patrimoine mat riel et immat riel strat gie L entreprise tant consid r e comme un syst me chacun de ces niveaux est en interaction de sorte que l impact d un sinistre n est jamais isol Notons quel point les notions de vuln rabilit de menace et de risque sont troitement li es Chaque menace ou risque brut est alors mesur e en terme de potentialit et d impact sur l organisation comme une zone de vuln rabilit Les zones de vuln rabilit de l entreprise peuvent alors valu es de la fa on suivante Vul P Risque x gt C Im pact L objectivit de l valuation de l impact est par essence relative dans la mesure o elle reste le fait des dirigeants de l entreprise qui m me conseill s restent seuls juges de la valeur de leurs int r ts Si l analyse des vuln rabilit s peut encore tre envisag e de mani re rationnelle dans une perspective strat gique elle trouve cependant sa limite dans une approche conomique plus pragmatique laquelle se r f re g n ralement le dirigeant pour exercer ses comp tences personnelles en mati re de leadership L optimisation de la fonction s curit sous contrainte de co t appara t en effet clairement comme une pr rogative du chef d entreprise L valuation conomique de la fonctio
13. n s curit fait appara tre des zones de contrainte Elle peut tre envisag e partir du mod le math matique suivant Vul P Risque x Im pact Risque O P Risque i d signe la potentialit d un v nement i Impact d signe le co t associ la r alisation du risque 1 Deux approches sont donc possibles une approche strat gique qui permet d identifier des zones de vuln rabilit Elle peut tre consid r comme la solution id ale pour un mod le de d cision rationnelle Aubert et al 1999 F Bulinge Isdm Novembre 2002 une approche conomique qui permet d identifier des zones de contrainte Le dirigeant d finit alors le seuil partir duquel une vuln rabilit doit tre consid r e comme critique au regard du rapport Investissement Pertes qu elle engendre A court terme nous pouvons envisager une repr sentation cartographique des zones de vuln rabilit s de l entreprise Ce type de repr sentation tr s utilis e en analyse d information pourra tre la base d indicateurs utiles au management de la s curit globale au sein de l entreprise Nos recherches se poursuivent actuellement dans cette direction Conclusion Notre d marche s inscrit dans le cadre d une recherche sur le d veloppement de la culture informationnelle exp riment e travers le programme Epices Etudes prospectives en intelligence comp titive conomique et strat gique
14. ne fait que d buter aussi nous serions gr au lecteur de bien vouloir consid rer avec indulgence cette contribution encore tr s imparfaite en particulier pour ce qui concerne la classification des risques qui m rite d tre corrig e et enrichie 1 Pour une approche crois e de la s curit et de l intelligence conomique 1 1 La s curit comme de l intelligence conomique dimension L intelligence conomique peut se d finir comme l ensemble des actions coordonn es de recherche de traitement et de diffusion de l information utile aux acteurs conomiques en vue de son exploitation des fins strat giques et op rationnelles Ces diverses actions sont men es l galement avec toutes les garanties de protection n cessaires la pr servation du patrimoine de l entreprise dans les meilleures conditions de qualit de d lais et de co t Martre 1994 Le rapport Martre pr cise que l intelligence conomique permet aux diff rents acteurs d anticiper sur la situation des march s et l volution de la concurrence de d tecter et d valuer les menaces et les opportunit s dans leur environnement pour d finir les actions offensives et d fensives les mieux adapt es leur strat gie de d veloppement Larivet 2000 voque une dimension d fensive de l intelligence conomique recouvrant la contre intelligence et la protection du patrimoine de l organisation Levet et Paturel 1996 Ba
15. nformation l usage des directeurs CNRS Paris Aubert N J P Gru re J Jabes H Laroche S Michel 1999 Management aspects humains et organisationnels PUF Barlette Y 2002 La s curit des informations quels risques pour quelles entreprises Actes pr liminaires du colloque de recherche du CRIC Paris 27 mai 2002 Baron G 1996 Intelligence conomique objectifs et politique d information Institut des hautes tudes de la s curit int rieure Etudes et recherches Bournois F P J Romani L intelligence conomique et strat gique dans les entreprises fran aises Economica Bulinge F 2001 Pme Pmi et intelligence comp titive les difficult s d un mariage de raison Actes du colloque Vsst 2001 Barcelone Octobre 2001 Charbonnier J 1990 Risques et assurances des PME PMI Dunod Dewerpe A 1994 Espion une anthropologie du secret d Etat contemporain Grasset Guinier D 1992 S curit et qualit des syst mes d information Paris Masson Kervern G Y P Rubise 1991 L archipel du danger Economica Kervern G Y 1995 El ments fondamentaux des cindyniques Economica Kervern G Y 1998 Une perspective historique et conceptuelle sur les sciences du danger les cindyniques Introduction aux cindyniques sous la direction de Jean Luc Wybot Eska 1998 Larivet S 2000 Proposition d une d finition op rationnelle de l intelligence conomique CERAG n
16. ron 1996 pr cise que la protection du patrimoine concurrentiel entendu au sens global F Bulinge Isdm Novembre 2002 est partie int grante du concept d intelligence conomique Cette approche inspir e des services de renseignement marque volontairement la dimension s curitaire de l intelligence conomique dans le domaine de l information et du patrimoine de l entreprise Bournois et Romani 2000 analysent les liens entre l intelligence conomique et la s curit des syst mes d information Trois types de rapports apparaissent les SSI englobent PIES l un et l autre sont en coordination troite enfin les deux aspects sont trait s s par ment Nous retenons comme hypoth se de travail la seconde solution en ce qu elle fait appara tre une continuit synergique entre les acteurs de l organisation L intelligence conomique par ses dimensions multiples appara t comme un champ structurant la fois transdisciplinaire et prot iforme Elle marque par ailleurs le transfert des pouvoirs r galiens de l Etat vers une prise en charge par les entreprises travers l mergence d une sensibilit collective aux enjeux de s curit conomique Warusfel 1996 La d marche de s curit entreprise dans le cadre ou associ e une d marche plus globale d intelligence conomique pr sente notre avis l avantage de la coh rence et de la mutualisation des processus de mise en uvre no
17. tamment sur le plan culturel Bulinge 2001 1 2 Une approche syst mique de la s curit La notion de menace ne saurait tre isol e de celle de vuln rabilit En ce sens l intelligence conomique dans sa dimension t l ologique Bournois et Romani 2000 proc de une analyse strat gique de la s curit en termes de vuln rabilit s de menaces et de risques voire de danger dans une approche cindynique Kervern 1995 dont d coulera notre proposition d quation Faut il pour autant largir le concept de s curit informationnelle de patrimoine immat riel vers un concept global de s curit int grant les dimensions mat rielles de l entreprise L approche holistique met en avant la dimension universelle de la s curit puisqu elle int resse aussi bien les logiques publiques de d fense des int r ts des personnes que les logiques priv es des entreprises dans des perspectives aussi bien micro conomiques que macro conomiques Une approche holistique de la s curit pr sente l avantage de ne pas s parer les l ments de ce que l on consid rera comme une cha ne de s curit laquelle d pend essentiellement de son maillon le plus faible Prenons l exemple de la s curit de l information elle prend en compte trois objectifs qui sont l int grit la confidentialit et la disponibilit de l information Pour atteindre ces objectifs les sp cialistes d gagent une typologi
18. teurs environnementaux caract ris s par leur complexit et leur niveau de turbulence L analyse des vuln rabilit s est un acte responsable concomitant l analyse des menaces Le premier des d ficits syst miques cindynog nes Kervern 1995 est le culte de l infaillibilit DSCI ou syndrome du Titanique Il repr sente une barri re imm diate toute tentative de r flexion en mati re de s curit F Bulinge Isdm Novembre 2002 Origine Niveau Psychotechnique motivation comp tence int grit morale esprit d quipe Personnes Physique tat de sant int grit physique Social situation familiale contexte Equipe coh sion discipline dynamisme Organisations 8 Management Choix et options e Patrimoine savoirs faire projet innovation brevets Strat gies Environnement concurrentiel clients fournisseurs conccurrents Installations immeubles locaux Structures Mat riels machine informatique Tableau 1 Typologie des vuln rabilit s 2 2 L quation de la s curit Une approche rationnelle de la s curit nous permet d envisager une mod lisation connotation math matique dont l int r t est d accrocher l attention dans une d marche de sensibilisation Contrairement l intelligence conomique la s curit interpelle plus ais ment la raison en ce qu elle se r f re au danger la peur voire notre instinct de
19. ttaque Protection R action P Attaque Al as F Bulinge Isdm Novembre 2002 Le niveau de s curit est relatif a priori non nul dans la mesure o en l absence de mesures de pr vention ou de protection il reste une probabilit de r action facteur humain chance non appr ciable A contrario le niveau de s curit n est jamais absolu il peut tre tout au plus optimum en fonction de crit res d ordre t l ologique Ainsi Le probl me peut il se traduire math matiquement par l optimisation de la fonction s curit sous contrainte de co t 3 Vers un outil d analyse des risques en entreprise Une approche holistique de la s curit prendra en compte l ensemble des facteurs de risque intrins ques et extrins ques de l entreprise Cela suppose une analyse exhaustive au terme de laquelle un oubli pourrait s av rer fatal L int r t d une grille d valuation est vident Nous proposons dans cet article une premi re approche qui m rite coup s r d tre modifi e et enrichie Une grille d analyse simple doit reposer sur l identification d une liste de menaces auxquelles peut tre confront e une organisation Nous d finissons pour ces menaces ou risques bruts une potentialit d occurrence d un v nement P Risque i propre la situation de cette organisation zone sismique contexte g opolitique etc Nous d finissons ensuite un coefficient d impact Cl
Download Pdf Manuals
Related Search
Related Contents
DSO Nano Manual Intro Features CP-4900 Micro-GC Installation manual Genie F2Robinetterie et équipements pétroliers Anleitung - Bang & Olufsen Leipzig FY-14UWM3 の取扱説明書 Projector Digital Photography Center: The Definitive Primer PJB BRIEFCASE OWNER`S MANUAL Handbuch - Owners Manual Copyright © All rights reserved.