Si Vis Pacem assistait, l'autre jour, à l'après-midi organisé par la chaire "Innovation et régulation" sur les questions de cybersécurité. Il en a fait un excellent compte-rendu. J'ai picoré deux ou trois autres petites choses.
Le problème mentionné par SVP est celui de la responsabilité. Or, les dirigeants ne se sentent pas responsables. Au fond, ce n'est pas seulement que les DG doivent être RSSI, c'est surtout qu'ils ne sont pas sanctionnés lorsqu’il y a des erreurs : ni par les autorités (mais il n'y a pas de régulation), ni surtout par les conseils d'administration ou les marchés. Du coup, le critère du dirigeant est celui fixé par ses "seigneurs et maîtres" : et il est financier.
Regardons d’ailleurs nos systèmes d'information : ils ont tous été bâtis sur deux critères essentiels : la performance, et le coût. On pourra toujours discuter de la performance (techniquement pas toujours au rendez-vous, ainsi que l'a expliqué un autre intervenant); constatons également que les pertes SSI affaiblissent la dite performance. Quant au coût des matériels, on aperçoit ici encore le dilemme entre le consommateur (celui qui paye) et le praticien (celui qui utilise). Les arbitrages collectifs sont aujourd'hui régulièrement en faveur des consommateurs, aux dépens des autres acteurs. C'est vrai aussi des systèmes informatiques qui nous intéressent ici.
La solution apparaît logiquement : il faut ajouter un critère de sécurité. Ce qui appartient bien sûr au régulateur, donc l'autorité publique, État ou autre. Cela pose immédiatement un problème : celui de l'entrave à la libre concurrence. Toute régulation est toujours considérée comme l'entrave à la liberté d'un acteur : il peut être individuel (entrave aux libertés publiques de telle ou telle loi, cf. Hadopi) ou économique. Voici une difficulté générale posée par le cyberespace...
Enfin, et dans un tout autre domaine, je note un point très important, celui de la sécurisation de la supply chain. Aujourd’hui, l'économie mondialisée repose sur des chaînes logistiques de plus en plus performantes. Celles-ci reposent sur la maîtrise non des colis, mais de l'information accompagnant ces colis. Aujourd’hui, la logistique c'est d'abord de l'information avant d'être un objet transporté/stocké/transbordé/conditionné/livré... (je crois que nous en avions parlé lors du colloque sur la logistique). Or, personne ne s'intéresse à la sécurisation de cette information logistique, qui est pourtant le centre nerveux des entreprises....
O. Kempf