ISO 27001 : convaincre sa direction générale d’y aller

Des dizaines et des dizaines d’enquêtes, de rapports et d’études en tout genre ont trituré dans tous les sens ces quatre accidents, mais pour schématiser on peut retenir comme cadre de réflexion la théorie de James Reason, qui classifie les « erreurs » (ou accidents) en deux groupes : les actives et les latentes. Les erreurs actives sont commises par les personnes en contact direct avec les événements (le commandant du Titanic par exemple) et se subdivisent elles-mêmes en trois catégories : compétences, connaissances et règles. Les erreurs latentes sont commises par des personnes sans contact direct avec les événements (les responsables de la réglementation sur les canots de sauvetage, qui étaient insuffisants sur le Titanic) et se répartissent elles-mêmes en de nombreuses sous-divisions.

Sur les autres accidents, la répartition n’est pas la même. Pour Tchernobyl, par exemple, les études pointent du doigt la responsabilité de l’encadrement intermédiaire dans la chaîne hiérarchique du nucléaire civil soviétique (on est en pleine guerre froide), qui n’a pas osé alerter les politiques des défauts de conception de la centrale ni des procédures incomplètes ou mal connues des opérateurs. Dans le cas de Three Mile Island, c’est la multiplicité des agences gouvernementales qui est en cause (entre autres), et même Jimmy Carter se plaignait à l’époque que personne ne savait qui faisait quoi, à la fois dans la remédiation et dans la communication de crise. Dans les deux cas (mais aussi pour Challenger et le Titanic), on est en face d’une distorsion de connaissances entre ceux qui sont au contact des faits (les techniciens, les ingénieurs, les opérateurs, etc.) et la sphère du top management : les premiers voient et comprennent des éléments qui ne remontent pas aux seconds. Sans même parler de l’absence de vision commune et unifiée du terrain, justement.

Lorsque l’on discute avec des décideurs ou le top management d’une entreprise, c’est un élément de stress qui revient souvent dans les propos : comment le décideur peut-il avoir l’assurance qu’on lui remonte bien les bonnes informations, les bons risques, bref ce qui lui permet de prendre des décisions en connaissance de cause ? Dans les catastrophes évoquées plus haut, les filtres ne sont même pas imputables à la mauvaise volonté de l’encadrement intermédiaire : il s’agit d’immobilisme, d’entropie dans le corpus de règles, d’acteurs multiples, de zones de responsabilités mal définies, de problèmes connus mais non attribués, etc. Ces dysfonctionnements sont légion dans les organisations modernes et ont tendance à croître avec la taille de ces dernières (tout simplement parce que dans les grandes entreprises la cartographie des processus est complexe).

Pour le top management, plusieurs contre-mesures sont envisageables. Chez les constructeurs automobiles, dans les années 1990, on a vu apparaître la fonction de « cost-killer », la plupart du temps un manager ou un ingénieur en totale autonomie et ne répondant qu’au DG, chargé de pister les sources d’économies potentielles dans le processus global de fabrication d’un véhicule (si vous demandez à la volée où on peut économiser des sous dans une entreprise, chaque division vous expliquera immanquablement que c’est partout sauf chez elle, illustration du filtre de l’encadrement intermédiaire).

Il est en théorie possible de nommer un « IT-risk-killer » (c’est d’ailleurs une partie du rôle d’un RSSI), mais qui pourra se heurter à une organisation lourde et à un immobilisme fort (et pas que des MOA, n’en déplaise aux DSI…) : sans outil managérial fort, son action risque d’être contrainte. Une certification ISO 27001 est l’une des mesures possibles, qui plus est sanctionnée par un certificat dont le seul intérêt est que plus personne au sein de l’organisation ne pourra assumer le risque de le perdre. Ce bout de papier n’est pas et ne sera jamais la garantie qu’il n’y a pas de risques IT non maîtrisés. Il est, pour une direction générale, l’assurance que :

– quelqu’un va soulever les tapis pour pister les « anomalies », et ce partout dans le SI ;
– l’obligation de transparence consubstantielle à la démarche fera que rien ne pourra plus être masqué, dans les équipes de terrain jusqu’à la DG ;
– même la méthode du soulèvement des tapis sera constamment réévaluée.

En bref et pour résumer : quelqu’un va s’occuper du sujet, et la norme est faite de telle sorte que l’adhésion de tous est comprise dans le pack – ou en tout cas que le blocage éventuel d’un agent ou d’un service se verra rapidement.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé. 

Article connexe → La sensibilisation à la sécurité numérique : toujours aussi nécessaire en 2022 ?