En conduisant des études de risques, les risk managers s’aperçoivent fréquemment que les personnes sollicitées dépriorisent, dévalorisent voire ignorent le critère intégrité. Et ce, quel que soit leur secteur d’activité et quelle que soit l’étape de l’appréciation des risques (identification des besoins de sécurité ou évaluation des impacts d’un risque). Ainsi, viennent en tête les deux autres critères : la confidentialité (39%) et la disponibilité (42%) bien devant l’intégrité (16%).
Cause 1 : un biais !
Le biais, c’est une influence exogène – souvent non consciente – qui engendre une perception erronée d’une situation. Une étude récente, par exemple, a montré qu’une forte majorité d’entre nous associe sans s’en rendre compte le port des lunettes à l’intelligence. La conséquence de ce biais ? Si vous deviez recruter une personne, à profil équivalent vous choisiriez probablement celle qui porte des lunettes, parce que vous la trouveriez (inconsciemment) plus intelligente.
Où se cache le biais dans le critère d’intégrité ? Il se cache dans le champ lexical lié à l’information. Une rapide cyber recherche lexicale remonte des résultats qui sont tous en lien avec la confidentialité de l’information, la disponibilité de l’information et une combinaison de ces deux notions. Il n’est jamais fait mention de l’intégrité de l’information bien que les fake news émergent. Les biais nous influencent quotidiennement, ils font partie de notre vie. Il faut apprendre à les connaitre et les maîtriser pour comprendre et ajuster ses décisions
Cause 2 : un manque de compétences et connaissances techniques
Le manque de compétences et de connaissances générales engendre des erreurs de jugement. Deux raisons à cela : une grande confiance en la technologique et une vision limitée des menaces. La confiance en la technique suscite la croyance que la donnée altérée est détectée par le système puis rendue inaccessible. Les protocoles de communication et les outils de stockage intègrent des contrôles d’intégrité (CRC, redondance, RAID, etc.), ils agissent sur les couches basses. Ce qui est peu le cas des solutions applicatives qui n’embarquent que rarement des contrôles d’intégrité.
Ce dernier point puise sa source dans cette connaissance limitée des menaces mentionnée en début de paragraphe. Les protections des couches basses couvrent les menaces que nous connaissons majoritairement : altération de la donnée par modulation de fréquence, erreur d’écriture sur le disque, usure matérielle, etc. Certains contrôles applicatifs limitent les risques d’erreur de saisie ou de modification intentionnelle de données.Mais, les risques de modification intelligente de la donnée venant la compromettre dès la source et en affecter son intégrité sont omis.
Cause 3 : l’influence de l’environnement professionnel
Les collaborateurs tous métiers confondus (commerce, achats, ressources humaines, juridique) de sociétés proches de la sécurité de l’information n’apportent pas la même réponse que les autres. Intéressons-nous à celles proches du domaine de la SSI.
La proximité avec le domaine de la sécurité de l’information entraîne un déplacement des priorités. Probablement en raison d’une grande sensibilité des évènements et de l’usage des données, les personnes qui sont familières du domaine de la cyber sécurité seront plus attentives à la confidentialité de leurs données qu’à la disponibilité de celles-ci. En somme, elles préfèrent une suppression de données, qu’un accès à leurs à données.
Ces personnes ont-elles plus de choses à cacher que les autres? Bien entendu que non ! Elles font preuve d’une appétence au risque de violation de données différente des autres. Elles ont conscience qu’une donnée volée accélère la perte de maîtrise totale de cette donnée, de son exploitation voire de son détournement. Pour elles, in fine, dans la vie privée, le critère le plus important est la confidentialité des données plus que leur accessibilité.
Le risk manager : pilier de la maîtrise des risques en sécurité de l’information
Le gestionnaire des risques doit avoir conscience des influences et des biais cognitifs que nous portons tous en nous. Il doit y prêter attention dans toutes les étapes du processus de gestion des risques. Sa mission est d’emmener l’équipe dans la bonne direction et d’apprécier les risques qui auront du sens dans la situation étudiée, les risques auxquels l’entreprise devra se préparer à réagir, à réduire ou à accepter.
Lors de l’établissement du contexte, il s’attachera à identifier les biais et les différences culturelles qui influencent à la fois le cadre de réalisation des appréciations des risques (critères d’acceptation des risques, choix de traitement, approbation des risques résiduels) et les perceptions de chacun. Il sera ainsi particulièrement attentif au vocabulaire, en particulier aux termes qui engendrent des biais inconsciemment.
Le risk manager est un facilitateur. Au cours de l’appréciation des risques, il doit guider les protagonistes du processus de gestion des risques à traduire les besoins métiers en besoin de sécurité de l’information et à apprécier les risques SSI en réponse aux besoins et objectifs des métiers. Pour réussir dans sa mission, le risk manager doit avoir une idée des influences externes et préparer des exemples percutants, pour donner aux acteurs de la gestion des risques les clés pour apprécier les risques de la plus juste des façons possibles. Pour que ces acteurs aient la capacité d’apporter aux décisionnaires la garantie de résultats fiables – relativement à la culture risque de l’entreprise – indispensables à la prise de décision.
En dehors des actions ponctuelles d’appréciation des risques, le risk manager doit oeuvrer pour une culture du risque et une éducation aux typologies de risques qui affectent les critères de sécurité dont l’intégrité fait partie. Il peut influencer sur les actions de sensibilisation et de formation à conduire. Il doit communiquer sur les risques généraux et leurs traductions dans le contexte de son organisation. S’il le désire, il peut être un combattant contre les biais, qui influencent notre perception du risque, présents en chacun de nous.