2. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 2
►Avant-propos
Face à une certaine inertie ambiante et persistante au sein des organisations, et en dépit d’un cortège désormais pléthorique de
référentiels, trouver les bons leviers pour faire appliquer systématiquement et uniformément les exigences de sécurité relève
encore et toujours de la gageure pour le RSSI. Pour tenter de comprendre, certaines insuffisances récurrentes au niveau
opérationnel, il parait nécessaire de prendre un peu de hauteur, en s’intéressant tout d’abord aux freins identifiés, mais
également aux systèmes de gouvernance des entreprises, pour se risquer ensuite à faire un parallèle entre la sécurité et d’autres
domaines au moins aussi transverses que sont le Développement Durable ou la Qualité. Par cette approche interdisciplinaire,
nous allons pourtant voir comment deux disciplines aussi disjointes que la Sécurité du Système d’Information et la Responsabilité
Sociétale des Entreprises (ou « RSE »), peuvent en définitive s’avérer positivement interdépendantes lorsqu’associées dans une
démarche de progrès visant « excellence et performance durables ».
►Teaser (Positive security : Leveraging through social responsibility)
It remains one of the main challenges for the CISO to find the right tools, despite the plethora of standards available, to
systematically and coherently implement security requirements when faced with the enduring inertia of organizations. To try
gain some understanding of frequent short-comings at operational level, it would be well to get a broader view by taking a step
back: firstly by focusing on recognized obstacles, as well as on systems of corporate governance, then by drawing some
comparisons between Security and such other cross-sector disciplines such as Sustainable Development or Quality. Using this
interdisciplinary approach, we will see how two fields as far apart as Information Systems Security and Corporate Social
Responsibility (“CSR") may be positively interdependent when applying the progressive objective of "sustainable excellence and
performance " to them.
Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 23
(Trimestriel Avril-Juin 2013)
3. Sécurité positive : L’élévation par la Responsabilité Sociétale
p 3
Du constat au diagnostic
Mars 2013
4. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 4
►Les principaux freins à la SSI
1. Manque de financement (pour les ressources à mobiliser)
2. Manque de temps (impératifs opérationnels estimés prioritaires)
3. Manque de personnel qualifié (pour implémenter et maintenir)
4. Réticence des parties prenants utilisatrices ou exploitantes du SI (par rapport aux contraintes liées à la SSI)
5. Manque de culture sécurité (déficit de sensibilisation régulière)
Source : Rapport CLUSIF – Menaces informatiques et pratiques de sécurité en France - Edition 2012
►Un facteur clé pour adopter des pratiques SSI efficientes : la MOTIVATION !
Tendre vers la responsabilisation individuelle et autonome (« empowerment »)
en référence à la notion de « motivation 3.0 » décrite par D. K. Pink
Pratiquer la sécurité comme un acte positif et valorisant,
dans le cadre d’un vaste programme d’entreprise tourné vers l’excellence.
Impliquer les parties prenantes de façon à les faire évoluer vers le statut de parties intéressées
5. Sécurité positive : L’élévation par la Responsabilité Sociétale
Tangible
Intangible
Besoins secondaires :
Facteurs de développement personnel
(motivation)
Besoins primaires :
Facteurs de subsistance
(fondamentaux)
Mars 2013 p 5
►La Pyramide de Maslow, déclinée à l’entreprise et à ses besoins de sécurité [1/3]
Besoins génériques des individus
(Pyramide de Maslow originelle)
6. Sécurité positive : L’élévation par la Responsabilité Sociétale
Besoins tertiaires :
Facteurs de différentiation
et de durabilité
Besoins secondaires :
Facteurs de rentabilité
et de stabilité
Besoins primaires :
Facteurs de viabilité
Croissancedel’entreprise
(organiqueouexterne)
Mars 2013 p 6
►La Pyramide de Maslow, déclinée à l’entreprise et à ses besoins de sécurité [2/3]
Besoins génériques des entreprises
(Pyramide de Maslow adaptée)
7. Sécurité positive : L’élévation par la Responsabilité Sociétale
Etat de l’art
Bonnes pratiques
Pratiques élémentaires
Besoindesécurité/maturitéSSI
Mars 2013 p 7
►La Pyramide de Maslow, déclinée à l’entreprise et à ses besoins de sécurité [3/3]
Besoins génériques des entreprises en matière de SSI
(Pyramide de Maslow adaptée)
8. Sécurité positive : L’élévation par la Responsabilité Sociétale
p 8
RS, Qualité et SSI : une alliance gagnante
Mars 2013
9. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 9
►Le Développement Durable (DD) décliné en entreprise au travers de la Responsabilité Sociétale (RS)
en guise de nouveau levier pour l’élévation du niveau de maturité SSI
Les 3 dimensions DD / RS Les 7 questions centrales de la RS
selon la norme ISO 26000
10. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 10
►Les leviers stratégiques pour des pratiques de sécurité efficientes
11. Sécurité positive : L’élévation par la Responsabilité Sociétale
Objectif recherché Performance
Excellence et performance
durables
Critères dominants Pertinence, efficacité, fiabilité Cohérence, efficience, pérennité
Référentiels privilégiés
Règlementation applicable,
bonnes pratiques
Règlementation applicable,
cadre normatif, état de l’art
Satisfaction des parties prenantes
porteuses d’enjeux
Créanciers, actionnaires
et autorités de tutelle
Communauté élargie
de la sphère d’influence
Capitaux valorisés Tangibles Intangibles
Mesure des résultats
(Nature des indicateurs de reporting)
Exclusivement quantitative Principalement qualitative
Horizon temporel
de la gouvernance
Immédiat / court terme Moyen / long terme
Démarche méthodologique
Pragmatisme économique
(nécessaire et suffisant)
Approche holistique et intégrée
(convergence et synergies)
Orientation de la stratégie
Continuité d’activité,
conformité règlementaire
Crédibilité, confiance
et différentiation durables
Mars 2013 p 11
►Les 2 niveaux d’objectifs possibles de la RS et de la SSI dans les stratégies d’entreprise
12. Sécurité positive : L’élévation par la Responsabilité Sociétale
Profil de stratégie SSI Attentiste Réactif Proactif
Logique d'action
dans la stratégie d'entreprise
Exclusion de la SSI
Conformisme aux obligations
légales et règlementaires
Dépassement du cadre
règlementaire
Intégration de la SSI
à la gouvernance d'entreprise
Dissociation absolue Dissociation relative
Association,
management intégré
Type d'arbitrage Aspects économiques privilégiés
Aspects économiques, conformité
légale et règlementaire privilégiés
Rationalisation
des investissements, confiance vis-
à-vis des parties prenantes,
différentiation concurrentielle
privilégiés
Portée de la vision Très court à court terme Court à moyen terme Long à très long terme
Conception
de la responsabilité
Economique
Economique, juridique et
règlementaire
Economique, juridique
et règlementaire,
mais également sécuritaire
Objectifs poursuivis Profit maximal
Maintien du profit optimal
et préservation de la confiance
Profit optimal,
amélioration de la sécurité,
recherche de davantage
de confiance
Perception
des investissements
liés à la SSI
Coûts inutiles
(à fonds perdus) à éviter,
antagoniste avec le profit
Coûts nécessaires
et suffisants à minimiser
Investissements justifiés,
voire rentables,
au regard des risques couverts
et des enjeux
Exigences en termes de SSI Aucune, sinon minimalistes
Satisfaction fonctionnelle
aux clauses normatives
Implémentation
des bonnes pratiques
jusqu’à l’état de l’art
Perception de la SSI Menace Contrainte Opportunité
Perception prévisible
des parties prenantes
Méfiance Défiance Confiance
Mars 2013 p 12
►Les 3 approches de la RS et de la SSI dans les stratégies d’entreprise
13. Sécurité positive : L’élévation par la Responsabilité Sociétale
• SSI = levier
potentiel
d’ouverture de
l’entreprise
• SSI = source de
coût et frein à la
performance
• SSI = composante
essentielle à la
performance
• SSI = contrainte à
caractère
obligatoire donc
applicable
Vision
règlementaire
Vision
intégrée
Vision
opportuniste
Vision
réfractaire
Posture « ouverte »
vis-à-vis de la SSI
(enthousiasme)
Posture « fermée »
vis à vis de la SSI
(scepticisme)
Culture SSI
limitée
Culture SSI
avancée
Mars 2013 p 13
►Les 4 types de perception de la SSI dans la gouvernance d’entreprise
14. Sécurité positive : L’élévation par la Responsabilité Sociétale
p 14
Un cadre méthodologique commun
et un plan d’action tourné vers l’excellence
Mars 2013
15. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 15
►Le modèle d’excellence EFQM (version 2013) adapté à la SSI [1/2]
16. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 16
►Le modèle d’excellence EFQM (version 2013) adapté à la SSI [2/2]
◄ 100% : Reconnaissance en tant qu’organisation modèle
◄ 75% : Capacité à fournir des preuves complètes
◄ 50% : Capacité à fournir des preuves solides
◄ 25% : Capacité à fournir des preuves limitées
◄ 0% : Incapacité à fournir des preuves
▼ Echelle d’évaluation des attributs Facteurs et Résultats
Les 8 concepts fondamentaux de l’EFQM ►
▼ L’outil de management et d’évaluation « RADAR »
de l’EFQM
17. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 17
►Un plan d’action en 5 étapes clés pour une approche RS et SSI gagnante
18. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 18
►Bibliographie
Menaces informatiques et pratiques de sécurité en France - Edition 2012 (CLUSIF)
Le développement durable - Théorie et application au management – 2e édition - Rédaction collaborative
sous la direction de Dominique Wolff (DUNOD)
ISO 26000 : Responsabilité sociétale (AFNOR)
Le guide de l'EFQM - version 2013 - Florent A. Meyer (LEXITIS)
Des salariés engagés : Qualité du management et performance de l’entreprise – Juin 2012 – Hubert Landier
(Institut de l’entreprise)
La vérité sur ce qui nous motive – Daniel K. Pink (LEDUC.S)
19. Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 19
Disciple, c’est un grand jour !
Je vous annonce que j’ai enfin mis au point
ma fameuse formule de motivation 3.0 :
un soupçon de RSE, un zest de Qualité,
et le tour est joué !
Voulez-vous être mon cobaye ?
S’il s’imagine
que cela va me faire
lever plus tôt …
Source* : www.leonardlegenie.com
« Léonard - Série TV » de Turk & De Groot (CANAL J / GULLI / ARANEO et les Editions LE LOMBARD).
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)