RÉSEAUX

Pour mener à bien sa mission, le gestionnaire bénéficie généralement d’un réseau assez étendu de contacts personnels et professionnels sur lesquels il peut se fier. Si la plupart des interviewés sont membres à part entière de réseaux formels, d’autres n’en voient pas la nécessité.

«Peut-être que si on était une petite entreprise et que j’étais seul dans ma gang, j’y penserais sans doute. Étant donné que c’est une grande corporation, moi je travaille en équipe avec les directeurs informatiques de chaque région. On partage nos expertises, les meilleures pratiques et dans le groupe, on s’assure que par sujet, il y a des gens qui seront formés à l’externe et qui vont ensuite se partager l’information, qui vont participer à des séminaires, des colloques» (Interviewé 14).

L’interviewé 11 nous confiait quant à lui qu’il n’est membre d’aucun réseau, formel ou informel et que dans l’entreprise (qui compte des milliers d’employés), il ne bénéficie de l’expertise d’aucun collègue de son niveau ou d’un niveau supérieur. Il ajoute ne pas en ressentir le besoin. Des quinze gestionnaires interviewés, il est le seul à avoir tenu ces propos puisque même au sein de PME, les gestionnaires sont soit membre d’un réseau professionnel, soit membre d’un comité ou les deux. Est-ce que cela s’explique par un désir de demeurer indépendant et complètement autonome ou encore, est-ce le fait d’avoir bénéficié des conseils d’un mentor pendant quelques années? La deuxième option nous parait la plus probable dans ce cas puisque le discours de ce gestionnaire laissait transparaitre une réelle admiration et un respect qui, semble-t-il, n’a pu être égalé par la suite. Ce cas particulier n’est cependant pas représentatif de l’échantillon puisque la majorité des gestionnaires sont membres de plusieurs réseaux professionnels et associations : CQCD, AQIS, ASIQ, ASIS29, pour ne nommer que celles-là. La plupart d’entre eux s’implique dans le milieu de la sécurité par le biais de différentes activités: certains offrent de la formation, d’autres siègent sur divers comités, ils assistent à des colloques ou sont eux-mêmes conférenciers.

Pour une majorité d’entres eux, ancien policiers ou non, le réseau de contacts s’étend à tous les niveaux, de la scène politique au milieu policier en passant par les compétiteurs. «(…) On se sert beaucoup de nos contacts sur le marché faque on se tient informé, et quand on apprend des choses, on le communique» (Interviewé 5). L’interviewé 3,

29 _{CQCD : Conseil québécois du commerce de détail; AQIS : Association Québécoise de l’industrie de la} sécurité; ASIQ : Association de la sécurité de l’information du Québec; ASIS : American society for industry security.

gestionnaire d’une PME tient des propos similaires : «B a son réseau de contacts et ça aussi c’est une source d’informations importante. Des sources qu’il utilise une fois de temps en temps quand il n’a pas de réponse». Les contacts personnels occupent donc une place prépondérante lorsqu’il est question de sécurité de l’information et selon ce gestionnaire «la meilleure information provient des contacts personnels» (Interviewé 12).

Par ailleurs, au moins la moitié des interviewés nous ont mentionné faire partie de comités qui réunissent leurs membres pour discuter des tendances de l’industrie en matière de sécurité. L’interviewé 2 nous résume sa situation : «Moi, j’suis pas membre d’un réseau professionnel. Par contre on est membre de plusieurs comités. Des comités qui sont très importants pour développer les «trends» (tendance)». Le fait d’entretenir des liens avec des professionnels du milieu ou avec les membres de son organisation apporte donc son lot d’avantage. Non seulement, il s’y développe une meilleure connaissance des risques et des menaces potentielles mais l’information devient rapidement accessible. Bien que la situation de ce gestionnaire soit particulière, elle reflète néanmoins les privilèges d’un réseau organisé :

«La circulation de l’information, c’est presque instantané, vous êtes au fait de tout ce qui se passe. Un inspecteur est en lien avec le ministère ABC puis aux États-Unis, G est responsable des liens avec les autres agences. Faque oui, c’est un gros network (…) quant y a quelque chose (…), on est tout de suite au courant, on augmente la sécurité (…)» (Interviewé 2).

Enfin, qu’il soit formel ou informel, le réseau de sécurité entraîne une plus-value au processus décisionnel du gestionnaire en matière de gestion des risques informationnels. Quatorze des quinze gestionnaires rencontrés partagent cet avis. L’un deux a par ailleurs ajouté que de toutes les sources d’information, le réseau professionnel demeure le plus pertinent : «Moi les sources d’informations sont à plusieurs égards mais je pense principalement au réseau professionnel avec qui tu transiges, les associations

professionnelles qui ont trait au métier dans lequel tu fais partie et que tu es actif, les échanges entre nous (…)» (Interviewé 10).

Les gestionnaires nous ont évidemment fait part qu’ils ont recours à d’autres sources pour s’informer quant aux risques informationnels. L’interviewé 5 nous parle des sites d’hackers et des sites de fournisseurs et précise «qu’on peut pas se limiter à une seule source». L’interviewé 11 affirme quant à lui que «s’abonner à des sites de sécurité» n’offrent aux gestionnaires «qu’une idée générale des vulnérabilités». Trois des quinze gestionnaires (spécialisés en sécurité de l’information) ont également mentionné avoir créé une vigie technologique et un autre nous a admis avoir acquis un logiciel d’extraction de données particulièrement puissant qui lui permet de mieux gérer les risques auxquels son organisation pourrait être exposée.

Nous pouvons dire que les réseaux représentent certes, un avantage pour les gestionnaires de la sécurité qui doivent veiller à la protection du patrimoine informationnel de l’entreprise. Cependant, la majorité d’entres eux s’entendent pour affirmer que le renseignement ne peut se construire qu’à partir d’une multitude de sources : données statistiques, tests, revues spécialisées, sites web, relations professionnelles, expérience et intuition, point sur lequel nous n’avons pas élaboré mais qui a été mentionné à quelques reprises par certains gestionnaires plus expérimentés voire même plus âgés que la moyenne. Retenons simplement que le processus de qualification et de quantification des risques jumelé à une dynamique relationnelle impliquant des principes d’échange d’informations et de connaissances poursuit un objectif commun inter-organisationnel de réduction des risques informationnels. Même si, à différents degrés, nous pouvons nous attendre à une certaine rétention de l’information qui pourrait être considérée comme plus sensible, il n’en demeure pas moins que l’organisation bénéficie directement de cette forme d’interactions entre gestionnaires de la sécurité. Dans la prochaine section, nous allons d’ailleurs tracer le profil de ces gestionnaires, ce qui nous permettra dans une section ultérieure, de mieux comprendre la dynamique relationnelle qui prévaut au sein de chaque organisation.