PROFITABILITÉ DE L'ENTREPRISE ET SÉCURITÉ: OBJECTIFS

Revenons sur cette dichotomie entre les objectifs poursuivis par l’entreprise et les objectifs de la sécurité puisqu’il s’agit d’un sujet qui a été abordé à maintes reprises par l’ensemble des gestionnaires de la sécurité avec lesquels nous nous sommes entretenus : «(…) la sécurité est pas là pour bloquer la business. Moi, jamais jamais j’vais le faire» (Interviewé 11). Les propos de l’interviewé 5 abondent aussi dans ce sens : «En théorie, faut pas faire ça! Oui mais la réalité en entreprise, c’est autre chose. J’peux pas empêcher les magasins de vendre!». Nous avons remarqué qu’au sein de notre échantillon, le discours des gestionnaires représente assez fidèlement l’évolution constatée à travers les

études d’envergure réalisées au cours des cinq dernières années par les firmes Deloitte, Ernst & Young et PricewaterhouseCoopers. L’un des gestionnaires interviewés (Interviewé 6) s’est par ailleurs vu étonné mais aussi ravi qu’un nombre grandissant d’acteurs de la sécurité s’éveille à la complexité organisationnelle et à la nécessité pour le gestionnaire de la sécurité d’être conscient de la finalité économique d’une entreprise. Les propos de l’Interviewé 12 sont en effet révélateurs de ce changement :

«Avant d’amener un projet de l’avant (…), il faut que tu sois conscient de l’étape dans laquelle l’entreprise se trouve, de son contexte organisationnel. Si l’entreprise concentre ses efforts sur le développement de nouveaux marchés, ce n’est pas le bon moment pour présenter un projet de grande envergure. Qui plus est, il faut être préparé, avoir un plan bien défini. Il faut être stratégique dans son approche».

Ce que nous constatons, c’est que non seulement le gestionnaire de la sécurité intègre les notions de contexte organisationnel et de profitabilité à sa façon d’aborder la sécurité mais il y perçoit aussi l’opportunité de démontrer que la sécurité de l’information ne doit pas être considérée uniquement comme une contrainte. La promotion de la sécurité passe par la valorisation de ses avantages, comme un moyen de diminuer les pertes et par conséquent, de maximiser le profit. Comme nous l’a fait remarquer l’un des gestionnaires interviewés : «Mon but, c’est : qu’est-ce que j’dois mettre en place pour qu’ils puissent le faire? C’est mon approche. Faque de cette façon là, je me positionne et en même temps, je diminue les risques et tout le monde est content» (Interviewé 5). L’interviewé 14 nous mentionne quant à lui qu’il est «toujours plus facile d’obtenir du budget pour améliorer quelque chose qui va avoir un impact sur la business».

Comme en témoigne les propos de plusieurs gestionnaires, si l’organisation souhaite maintenir un niveau optimal d’efficacité, certains projets se doivent d’être réalisés et cela, malgré la présence d’un nombre parfois important de risques. Dans la mesure où le gestionnaire de la sécurité est impliqué dans ce type de projet, il pourra justifier son

implication et la plus-value de ses recommandations de plusieurs manières: «T’es obligé de le payer faque y as-tu quelque chose qu’on peut faire, on peux-tu être meilleur là- dedans? En mettant ça, oui on paye plus d’un million à la banque mais on s’est aperçu qu’on sauve 2 à 3 millions par année» (Interviewé 2). Si les efforts déployés à promouvoir la sécurité servent les intérêts économiques de l’entreprise, ils contribuent également à faciliter le processus de gestion des risques :

«Ça veut dire, un seul mot de passe à se souvenir, y vont être plus efficaces, plus productifs. Donc, oui y faut sécuriser mais aussi, si c’est fait de la bonne façon, j’peux amener de quoi qui va les aider, qui va amener de la valeur. Mais pour moi, ça va me servir parce que ça va être plus sécuritaire» (Interviewé 5).

Évidemment, aucun des interviewés n’a affirmé que les projets étaient acceptées à l’unanimité car, faut-il le rappeler, la mise en place de procédures ou l’intégration de nouveaux outils sont présentés, la plupart du temps, sous forme de recommandations au comité de gouvernance ou aux membres de la direction de l’entreprise31. L’interviewé 1 nous racontait justement qu’au sein de son entreprise, les unités d’affaires sont responsables de leurs profits. S’ils ont une tolérance au risque élevé et qu’ils jugent qu’une somme de «500 000$» est mieux investie dans un projet de marketing, la décision finale leur revient et ce, malgré les doléances du gestionnaire de la sécurité et malgré les arguments qu’il apportera, aussi solides soient-ils. Et comme le renchérit l’interviewé 2, «On fait des recommandations : y en a qui sont suivies, d’autres qui sont un peu moins suivies (…)».

L’analyse de ces discours nous permet de déduire que les gestionnaires de la sécurité (qu’ils soient issus des TI ou de la sécurité physique) ont su adopter un style de gestion qui s’apparente à l’approche dite de la contingence (Donaldson 2001, Pennings 2013). C'est-à-dire qu’ils ont su se créer une place au sein du processus de gestion des risques

informationnels non seulement en tenant compte des particularités du contexte mais aussi en fonction des objectifs plus généraux de l’organisation, tangente qui se remarque aussi au sein de l’industrie de la sécurité de l’information32. Il faut toutefois admettre que les stratégies adoptées pour protéger les actifs informationnels de l’entreprise se traduisent bien souvent en compromis fragiles et provisoires et la solution qui parait optimale d’un point de vue financier ou opérationnel ne l’est peut-être pas d’un point de vue sécuritaire.

5. LA GESTION DES RISQUES INFORMATIONNELS À TRAVERS DEUX