La conformité aux normes, plus sécuritaire que la sécurité elle-même… Simple lapsus ou regrettable inflexion des concepts en sécurité de l’information ?
Le site HealthCare IT Security a publié la semaine dernière un article consacré à la sécurité moderne des entrepôts de données dans le secteur de la santé. Son auteur, Bill Kleyman, spécialiste des datacenters, y évoque les trois niveaux de sécurité essentiels en la matière :
- la sécurité physique, c’est à dire la protection des locaux qui abritent les serveurs et autres supports physiques d’information contre des attaques matérielles ;
- la sécurité logique, autrement dit la protection des informations et des systèmes d’information contre des attaques immatérielles ;
Et il ajoute : - la conformité aux standards, qu’il justifie de la façon suivante (je souligne) :
Having the most secure platform out there still may not make you compliant. This is why it’s critical to work with a data center partner that can offer the full trifecta of physical, logical, and compliance-drive security.
Et de citer divers standards internationaux en sécurité de l’information : PCI, HIPAA/HITECH, SOC 1, SOC 2, Safe Harbor.
Et là, je tique.
À l’origine, ces standards ont précisément été développés et implantés avec l’intention louable d’améliorer la sécurité de l’information dans les entreprises et les institutions. En effet, dans la conduite de leurs activités, les organisations s’embarrassent peu des questions de gouvernance en sécurité. Il leur paraît alors plus raisonnable de s’en remettre en la matière à un système de normes professionnelles pour les guider quant aux mesures qu’elles doivent mettre en place. On ne peut pas être contre la vertu : ces normes présentent une avancée indéniable en ce sens.
Puis vint… la certification.
Il y eut un soir. Il y eut un matin. Et ce fut la seconde phase : le standard ne pouvait plus demeurer un simple ensemble de lignes directrices. Il fallait désormais qu’un organisme « indépendant » (mais bien souvent payé par l’entreprise…) s’assure que toutes les normes étaient impérativement respectées. Il délivrait ensuite un joli diplôme dont l’entreprise pouvait dès lors se targuer dans ses publications officielles et ses candidatures aux appels d’offres.
Seulement voilà, cette feuille de vélin supérieur 240 g/m² n’est valable que trois ans. Et selon le principe du cliquet, l’entreprise qui a axé sa comm’ sur cette conformité chèrement acquise ne peut plus revenir en arrière. Il faut désormais tout faire pour renouveler le papier dans le cadre doré accroché dans la salle du conseil. Sous peine de voire l’organisation figurer au générique du film d’horreur corporatif Les Aventuriers de la certification perdue.
Tyrannique mais inefficiente
Les accréditations et autres certifications de sécurité ont aujourd’hui envahi la vie professionnelle. Dans un précédent emploi, le service de sûreté duquel je relevais était assujetti non pas à un mais à deux standards de sûreté (l’un émanant d’un organisme privé, l’autre d’un ministère fédéral). Le temps dévolu à s’assurer de cette double conformité était colossal. Étions-nous plus sécuritaires ? Oui. Mais étions-nous plus sécuritaires dans une mesure proportionnelle aux ressources affectées à la conformité ? Non, trois fois non.
La conformité aux normes de sécurité présente une relative efficacité. Mais elle est d’une bien piètre efficience.
Les organisations s’entendent pour dire que les standards sont trop lourds et largement inadaptés à leur réalité ; notamment parce qu’ils évoluent très lentement et ne priorisent pas leurs normes – ce qui est pourtant essentiel en gestion des risques. Il n’en demeure pas moins que ces normes sont obligatoires. Mandatory, comme on dit de nos jours. Les ressources seraient nettement plus profitables à la sécurité de l’entreprise si elles étaient affectées différemment ? Oui, mais tant pis…
De fait, la conformité au standard a cessé d’être un moyen : elle est devenue une fin en soi, instaurant souvent dans l’entreprise une tyrannie de la norme.
Une funeste redéfinition de la sécurité
C’est dans ce contexte qu’il faut lire la phrase susmentionnée de Bill Kleyman.
« The most secure platform out there still may not make you compliant » signifie alors :
Même si vous êtes le plus sécuritaire possible, vous n’êtes pas assez sécuritaire parce que vous n’êtes pas conforme au standard.
Forrest Gump ne manquerait pas d’objecter :
N’est sécuritaire que la sécurité.
En effet, comment la conformité peut-elle être plus sécuritaire que la meilleure des sécurités ? Elle ne le peut pas. C’est un non-sens.
On rétorquera que la phrase de Kleyman est maladroite ; qu’il fallait lire que la conformité est aujourd’hui un pré-requis dans le contexte des professionnels de la sécurité de l’information.
Mais le fait qu’une telle posture soit énoncée de la sorte et érigée à un tel niveau par un spécialiste, sur un site Internet de référence pour de nombreux professionnels, tend à prouver que ce non-sens est en train de s’ancrer dans les mentalités.
Le cas échéant, cela ne laisse rien augurer de bon pour les spécialistes de la gestion du risque. Leur discipline de prédilection se rapprocherait alors dangereusement d’une simple activité d’audit selon un standard, présenté comme indépassable car entonné sur l’air du On a réfléchi pour vous.
À propos de Arnaud Palisson
Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.