Accueil Tribune - Celui qui ne veut pas se voir malade casse son...

Tribune – Celui qui ne veut pas se voir malade casse son thermomètre !

“ Que mesure-t-on vraiment ?
Le vrai budget de la prévention… ? ”

Jean-Marc Grémy,
président du CLUSIF.

Avec une pointe humoristique et décalée pourrait-on commencer une introduction de notre étude MIPS (Menaces Informatiques et Pratiques de Sécurité) par cette citation ? Non, bien sûr. Tous les ans, et depuis des années, dans tous les secteurs d’activité des dizaines de publications nous abreuvent de chiffres, sans que nous n’ayons vraiment une vision très claire des méthodes utilisées pour les générer. Nous pouvons très justement contester les résultats si nous avons des doutes quant aux méthodes d’obtention.

En métrologie, nous savons tous que la mesure, son exactitude, dépend tant de la méthode utilisée et l’outil de mesure, que de la grandeur observée.

Tous les deux ans depuis maintenant 20 ans, le CLUSIF réalise une étude et publie le résultat de l’analyse des données collectées auprès d’une population donnée (les entreprises de plus de 100 salariés, les établissements de santé de plus de 100 lits, et les internautes. Nous sommes dans la métrologie. Quelle influence a sur le résultat le fait de poser une série de questions ? Que ce soit par téléphone, par un formulaire web, du porte-à-porte, quelle valeur, quel crédit apporter aux résultats ?

Restons sur ce noble périmètre de la Sécurité de l’Information. Celle perçue, voulue et attendue par les responsables de la sécurité de l’information en entreprise.

Quand nous évoquons les budgets associés aux actions de lutte contre la cybercriminalité, la prévention des incidents informatiques, la limitation des fraudes et autres effets de la cyber(in)sécurité. Que mesure -t-on vraiment ? Le vrai budget de la prévention, celui de la protection, des moyens de la résilience ? Ou les coûts réels des incidents ? Ou ce que l’on aurait pu économiser si la sécurité de l’information, et la cybersécurité, avaient été prises en compte, en amont ? Sans survendre, dans la mesure des effets réels, les préjudices évités, les économies réalisées par l’évitement des crises et leurs conséquences ?

Faisons donc référence à une autre citation, celle de Jean Dion (journaliste) « Les chiffres sont aux analystes ce que les lampadaires sont aux ivrognes : ils fournissent bien plus un appui qu’un éclairage ». Les études sont généralement issues d’une analyse des chiffres par des experts (encore un outil qui va introduire de la distorsion !). Les données sont collectées, elles sont interprétées par des experts qui ont sans doute aussi une vision de la réalité du terrain, des experts qui par leur expérience ne sont pas toujours en phase avec la décimale, mais souvent avec la tendance.

Le rapprochement que le CLUSIF tente de faire entre son étude MIPS et le Panorama annuel de la cybercriminalité ® est une manifestation de cette idée qu’aucune mesure n’est fiable à priori. Dans notre domaine, fait d’incertitude, de surprise. Où le cygne noir devient la valeur d’ajustement dans une gestion de risques rendue complexe par nos environnements et l’incertitude de pouvoir résister, voire d’échapper à des cyberattaques. Nous mesurons que malgré l’existence de responsable de la sécurité, d’un budget, d’une organisation et des moyens techniques, les incidents de sécurité sont toujours plus nombreux, variés, dévastateurs.

Nous faisons tous collectivement, le CLUSIF tout comme d’autres associations sœurs, le constat que la vérité n’est pas écrite dans le marbre. Que l’adage, les vérités d’un jour seront les mensonges de demain, doit nous maintenir en éveil, critiques à l’endroit de nos certitudes dans la lutte et la mise en œuvre d’une Sécurité de l’information et d’une cybersécurité, optimale et surtout mesurable dans les effets perçus et réels.

Notre devoir est bien de battre en brèche la vision que pourrait donner une fausse impression scientifique d’une étude par le simple fait qu’elle produit des statistiques d’une méthode ou d’une autre. Non, quand le sage montre la lune, l’imbécile ne regarde pas le doigt !

Ces chiffres ne sont pas la vérité mais bien une tendance.

La complexité d’apprécier l’état réel de la Sécurité de l’information de nos organisations, en temps (presque) réel devrait être un sujet de préoccupation d’aujourd’hui. Demain, il sera trop tard. La bataille a déjà commencé, l’ennemi indénombrable, trouvera toujours (la faille), la réponse n’est pas en pourcentage, en fréquence ou en euros. Mais bien en capacité de mobiliser l’ensemble des décideurs, des autorités et des politiques sur ce sujet.