En conduisant des études de risques pour nos clients, j’ai observé que les personnes rencontrées dépriorisent, dévalorisent voire ignorent le critère intégrité. Et ce, quel que soit leur secteur d’activité et quelle que soit l’étape de l’appréciation des risques (identification des besoins de sécurité ou évaluation des impacts d’un risque).
J’ai confirmé cette observation par un sondage sur LinkedIn qui m’a donné les résultats suivants :
Vous étant les répondants au sondage en ligne, et Eux, les clients lors d’ateliers de gestion des risques.
En conclusion, viennent en tête les deux critères : confidentialité (39%) et disponibilité (42%) bien devant l’intégrité (16%).
Le biais, c’est une influence exogène – souvent non consciente – qui engendre une perception erronée d’une situation. Une étude récente, par exemple, a montré qu’une forte majorité d’entre nous associe sans s’en rendre compte le port des lunettes à l’intelligence. La conséquence de ce biais ? Si vous deviez recruter une personne, à profil équivalent vous choisiriez probablement celle qui porte des lunettes, parce que vous la trouveriez (inconsciemment) plus intelligente.
Où se cache le biais dans le critère d’intégrité ? Il se cache dans le champ lexical lié à l’information. Une rapide cyber recherche lexicale remonte des résultats qui sont tous en lien avec la confidentialité de l’information, la disponibilité de l’information et une combinaison de ces deux notions. Il n’est jamais mention de l’intégrité de l’information bien que les fake news émergent.
Les biais nous influencent quotidiennement, ils font partie de notre vie. Il faut apprendre à les connaitre et les maîtriser pour comprendre et ajuster nos décisions.
Ce sondage met en avant le manque de compétences et connaissances générales qui engendre des erreurs de jugement. Deux raisons à cela : une grande confiance en la technologique et une vision limitée des menaces.
La confiance en la technique suscite la croyance que la donnée altérée est détectée par le système puis rendue inaccessible. Les protocoles de communication et les outils de stockage intègrent des contrôles d’intégrité (CRC, redondance, RAID, etc.), ils agissent sur les couches basses. Ce qui est peu le cas des solutions applicatives qui n’embarquent que rarement des contrôles d’intégrité.
Ce dernier point puise sa source dans cette connaissance limitée des menaces que je mentionnais en début de paragraphe. Les protections des couches basses couvrent les menaces que nous connaissons majoritairement : altération de la donnée par modulation de fréquence, erreur d’écriture sur le disque, usure matérielle, etc. Certains contrôles applicatifs limitent les risques d’erreur de saisie ou de modification intentionnelle de données.
Mais, les risques de modification intelligente de la donnée venant la compromettre dès la source et en affecter son intégrité sont omis.
L’analyse des réponses aux sondages a mis en lumière un aspect intéressant : les répondants tous métiers confondus (commerce, achats, ressources humaines, juridique) de sociétés proches de la sécurité de l’information n’apportent pas la même réponse que les autres. Intéressons-nous à celles proches du domaine de la SSI.
La proximité avec le domaine de la sécurité de l’information entraîne un déplacement des priorités. Probablement en raison d’une grande sensibilité des évènements et de l’usage des données, les personnes qui sont familières du domaine de la cyber sécurité seront plus attentives à la confidentialité de leurs données qu’à la disponibilité de celles-ci. En somme, elles préfèrent une suppression de données, qu’un accès à leurs à données.
Ces personnes ont-elles plus de choses à cacher que les autres (humour) ? Bien entendu que non ! Elles font preuve d’une appétence au risque de violation de données différente des autres. Elles ont conscience qu’une donnée volée accélère la perte de maîtrise totale de cette donnée, de son exploitation voire de son détournement. Pour elles, in fine, dans la vie privée, le critère le plus important est la confidentialité des données plus que leur accessibilité.
Les connaissances et compétences se partagent. Bien entendu, ce n’est pas parce que vous êtes expert en sécurité de l’information que vos proches le seront également. En échangeant sur nos expériences, nous pouvons individuellement et collectivement analyser de manière plus pertinente les risques.
Ce phénomène étrange que j’ai observé de mésestimation des impacts ou des menaces d’une atteinte à l’intégrité n’est qu’une illustration parmi tant d’autres. C’est un exemple de risque non identifié ou mal estimé par manque de compréhension d’un ou plusieurs de ses composants.
Dans cet exemple, la modification intelligente de données par un escroc exploitant l’absence de contrôle de cohérence de la donnée peut engendrer une altération de l’intégrité des données avec pour conséquences, la production de résultats erronés et la prise de mauvaises décisions.
Nous avons vu et compris les causes de ce phénomène : biais, le manque de compétences et connaissances et l’influence du domaine d’activité. Nous sommes dont en capacité d’agir. Nous pouvons agir sur ces causes par des actions de sensibilisation, de formation et de communication. Le risk manager est un pilier de la maîtrise des risques en sécurité de l’information.
Le gestionnaire des risques doit avoir conscience des influences et des biais cognitifs que nous portons tous en nous. Il doit y prêter attention dans toutes les étapes du processus de gestion des risques. Sa mission est d’emmener l’équipe dans la bonne direction et d’apprécier les risques qui auront du sens dans la situation étudiée, les risques auxquels l’entreprise devra se préparer à réagir, à réduire ou à accepter.
Lors de l’établissement du contexte, il s’attachera à identifier les biais et les différences culturelles qui influencent à la fois le cadre de réalisation des appréciations des risques (critères d’acceptation des risques, choix de traitement, approbation des risques résiduels) et les perceptions de chacun. Il sera ainsi particulièrement attentif au vocabulaire, en particulier aux termes qui engendrent des biais inconsciemment.
Le risk manager est un facilitateur. Au cours de l’appréciation des risques, il doit guider les protagonistes du processus de gestion des risques à traduire les besoins métiers en besoin de sécurité de l’information et à apprécier les risques SSI en réponse aux besoins et objectifs des métiers. Pour réussir dans sa mission, le risk manager doit avoir une idée des influences externes et préparer des exemples percutants, pour donner aux acteurs de la gestion des risques les clés pour apprécier les risques de la plus juste des façons possibles. Pour que ces acteurs aient la capacité d’apporter aux décisionnaires la garantie de résultats fiables – relativement à la culture risque de l’entreprise – indispensables à la prise de décision.
En dehors des actions ponctuelles d’appréciation des risques, le risk manager doit œuvrer pour une culture du risque et une éducation aux typologies de risques qui affectent les critères de sécurité dont l’intégrité fait partie. Il peut influencer sur les actions de sensibilisation et de formation à conduire. Il doit communiquer sur les risques généraux et leurs traductions dans le contexte de son organisation.
S’il le désire, il peut être un combattant contre les biais, qui influencent notre perception du risque, présents en chacun de nous. Le biais « d’ancrage » par exemple : la première chose à laquelle le panel de cette étude a pensé lorsque j’ai abordé l’intégrité, ce sont les traductions techniques qui sont déjà adressées par les outils ou les solutions technologies.
L’identification des biais et des influences externes par le risk manager est un gage de réussite de sa mission.
Responsable de l’offre Gestion des risques de l’information