Faut-il renoncer à la sécurité parfaite ?

Si vous êtes un expert cyber ou un RSSI et que votre Big Boss à plumes vous pose cette question, le poncif habituel « le risque zéro n’existe pas » est une très mauvaise réponse. Très mauvaise, car quand ledit grand chef va se rendre compte en trois requêtes sur Google voire sur son IA préférée, que la même réponse a été obtenue en trois dixième de secondes, au mieux vous passerez pour un gentil incompétent, au pire vous passerez la porte. Dit autrement, la question mérite une analyse un peu poussée.

Telle que formulée, la question embarque plusieurs biais de formulation. Le mot « sécurité » tout d’abord est trompeur : pourquoi utiliser ce terme générique et pas le mot généralement adopté de « risque » ? Reformulée, la question deviendrait donc : « faut-il renoncer à l’absence totale de risques ». La nuance semble infime, mais en fait pas du tout, car il y a une différence majeure entre « risque » et « danger ». En théorie du Risque (avec une majuscule, ceci désignant aussi bien le risque aérien que le risque nucléaire que le risque de guerre, etc.), un risque s’objective par une formule simple : risque = probabilité x impact. Toutes les méthodes d’appréciation visent à obtenir les deux termes de la multiplication pour donner un chiffre au final, mais le point majeur à ce stade, c’est qu’un risque peut être évalué (côté), au sens où l’on peut mettre des chiffres. A contrario, un danger ne peut pas être « côté » , soit parce que l’on ne dispose pas de méthode d’appréciation, mais la plupart du temps parce que l’historique des données est trop faible. La voltige aérienne, c’est risqué, mais pas dangereux. Le vol spatial habité vers Mars, c’est dangereux, mais pas risqué. Un Black Swan (concept développé par Nicholas Taleb, et qui désigne un évènement à probabilité proche de zéro et impact quasi infini), c’est dangereux, mais pas risqué.

À ce stade, un premier niveau de réponse du RSSI doit être d’expliquer que toute la démarche autour de la cyber poursuit deux objectifs :

– Identifier les risques, et obtenir un consensus sur la liste et leur cotation ;

– Tenter (parce que l’on ne peut pas faire mieux) d’identifier les « dangers », que certains appellent aussi les risques de classe Armageddon, avec régulièrement des tentatives de faire passer des éléments de cette seconde liste dans la première.

Le mot « parfait » ensuite, embarque lui aussi un biais mental : celui de l’immobilité. Quand on est parfait, on n’a plus aucune raison de bouger. Or, rien n’est pire que l’immobilisme : dans la formule précédente, le contexte évolue constamment, probabilité et impact évoluent constamment, la liste des risques de la première liste aussi, les contre-mesures aussi, les risques résiduels aussi, etc. Si toutes les disqueuses électriques avaient besoin d’une prise de courant à moins de 5m pour fonctionner comme dans les années 80, il est peu probable que le casse du Louvre d’octobre 2025 eut lieu, ce qui est un parfait exemple de l’évolution du contexte global qui mène à une modification d’une cotation d’un risque.

Dans ce contexte, « parfait » est tout simplement hors sujet : la vraie question concerne la réévaluation permanente de la matrice des risques dans un contexte qui évolue constamment. Et la bonne réponse du RSSI est justement que cette matrice des risques est constamment réévaluée, son évaluation confrontée à des visions ou avis internes et externes, qu’elle est transparente (consultable, argumentable) pour coller à l’état de l’art, la réglementation, etc.

Cependant, il y a un troisième aspect de la question, qui sort trop souvent du scope des RSSI et qui peut mener dans certains cas à des incompréhensions, voire des tensions : paradoxalement, la sécurité parfaite NE DOIT PAS être un objectif. Premier argument qui découle du raisonnement par l’absurde : si la sécurité parfaite est un objectif (si tant est que cela soit atteignable), c’est le RSSI qui dirige la boite – et vous conviendrez que c’est une anomalie. La sécurité n’est qu’un des éléments dont les décideurs doivent tenir compte pour faire leur job, et pas l’inverse : dans certains cas, ils arbitrerons en faveur de la sécurité, dans d’autres ils feront l’inverse. Le boulot du RSSI est de vérifier que la dimension sécurité a été bien analysée et bien comprise par les décideurs en questions, pas de leur dire où mettre le curseur au-delà de sa mission de conseil et d’alerte. Mais surtout, le risque zéro signifie que l’on ne fait plus rien : j’ai un scoop, le seul moment de votre vie où vous ne courez plus aucun risque sera celui où vous serez du mauvais côté du gazon. La bonne question n’est donc pas celle de l’absence de risque, mais celle du risque optimal compte tenu des enjeux tactiques et stratégiques de l’Organisation.

Finalement, la bonne question n’est pas : faut-il renoncer à la sécurité parfaite.

La bonne question est : comment gérer rationnellement un portefeuille de risques, en minimisant les biais organisationnels, et en permettant à la Direction Générale d’arbitrer sur le bon niveau de risques résiduels en fonction des objectifs tactiques et stratégiques de l’Organisation.

Et le premier boulot du RSSI est justement d’expliciter cette formulation.

cedric@cartau.net