Evaluer et prendre en compte les risques liés aux innovations technologiques

Promesse de progrès et d’augmentation de la productivité des entreprises, l’innovation pose néanmoins de nouveaux défis en matière de protection des données, de respect des libertés des individus et de protection du patrimoine matériel et immatériel.

 

Au-delà des questions purement rhétoriques et éthiques, l’innovation s’exprime à travers de nouvelles méthodes de travail et de nouveaux moyens de prévention et de protection.

Une lecture rapide du « Top 10 Strategic Technology Trends » du cabinet américain Gartner permet de mesurer à quel point la période est porteuse de grandes ruptures technologiques.

 

• L’intelligence artificielle utilisée pour améliorer la prise de décision, réinventer des modèles économiques et des écosystèmes.

 

• Les applications et analytiques intelligentes.

 

• Les objets connectés.

 

• Le double numérique, représentation numérique d’une entité ou d’un système, qui aidera dans des domaines comme la maintenance.

 

• Le Edge Computing, une topologie informatique dans laquelle la collecte, le traitement et la distribution d’informations sont placés plus près des sources de ces informations.

 

• Les plateformes conversationnelles de type chatbots.

 

• Les expériences immersives : réalités virtuelle, augmentée et mixte.

 

• La blockchain.

 

• L’event-driven : les entreprises du numérique sauront détecter rapidement et exploiter de nouvelles fenêtres de business, basées sur des moments, des événements ou des changements d’état notables (comme la validation d’une commande), pour ensuite lancer des actions commerciales spécifiques.

 

• L’évaluation de la confiance et le risque adaptatif continu : mise en place d’infrastructures capables de prise de décisions en temps réel, basées sur le risque et la confiance.

 

Une tendance confirmée par le salon Viva Technology qui a fait la part belle, fin mai 2018 à Paris, aux technologies liées à l’intelligence artificielle, à l’Internet of Things (IoT) ou encore aux drones intelligents.

Les directions sûreté et sécurité n’échappent pas à ce phénomène et à l’afflux de solutions de pointe. Les nombreux cas d’usage de ces nouvelles technologies « disruptives » vont bouleverser durablement et en profondeur nos métiers ainsi que notre approche du risque.

 

Citons par exemple le contrôle d’accès physique par application mobile, les drones pour la surveillance des sites, les solutions Saas (Software as a Service, terme utilisé pour désigner une application mise à disposition distance par un fournisseur et accessible par le biais d’un navigateur Internet) ou des systèmes d’information dédiés à la sûreté et la sécurité entièrement externalisés : autant de solutions censées « booster » le dispositif global de prévention et de protection.

 

Or, il est fréquent que ces composantes high-tech rendent l’organisation générale plus vulnérable : un paradoxe dû à un manque de recul et d’analyse sur les impacts métiers et à une évaluation incomplète des vulnérabilités intrinsèques des dispositifs.

 

La tentation technologique est très forte et les échanges avec les parties prenantes font ressortir des attentes importantes en termes de gains :

 

• Pour les équipes opérationnelles à analyser des signaux faibles, de levée de doute ou de stockage de données à des niveaux inégalés ;
• Pour les directions financières, avec des retours surinvestissements espérés notamment en termes de diminution significative du recours à des ressources humaines.

 

Cependant, cette question du gain des technologies doit absolument s’accompagner de la question des risques associés. Alors que nous assistons à l’avènement de l’intelligence artificielle, il est inévitable de réfléchir à des méthodes d’évaluation des risques et d’acquisition plus globales.

Prenons l’exemple du déploiement d’un dispositif de drones sur un site industriel au profit des équipes sécurité incendie ou des équipes sûreté.

 

Dans les deux cas, l’apport de cette technologie est incontestable : les premières disposent ainsi d’une vue haute sans danger pour attaquer un feu qui ravage des outils de production ou des stocks de matières premières, les secondes disposent d’une levée de doute à la suite d’une intrusion.

 

Toutefois, les retours d’expériences montrent que certaines questions n’accompagnent pas systématiquement les études sur l’acquisition de cette technologie. Il est nécessaire de s’interroger :

 

• Sur les impacts du remplacement des hommes (multitâches) par une technologie mono tâche ;

 

• Sur le niveau de sécurité des logiciels embarqués et notamment du contrôle de vol ;

 

• Sur le niveau de sécurité des données (images enregistrées, circuit du drone…) souvent conservées sur une solution SaaS pour éviter la saturation du système d’information interne ;

 

• Sur les impacts si les données sont interceptées ou si un malveillant prend le contrôle des drones.

 

Ainsi, il ne s’agit pas seulement de penser au risque lié à la réalisation d’un scénario malveillant ou accidentel, mais bien d’envisager le risque lié à l’ajout d’une nouvelle composante sans réelle maturité, augmentant les surfaces d’attaques offertes aux malveillants. Une réponse particulière doit être apportée à la question que pose le transfert de confiance vers une technologie non maîtrisée dont le déploiement pourrait introduire de nouvelles failles (intrinsèques ou liées au changement d’organisation).

 

Au-delà des habituelles questions liées aux risques couverts par une technologie, cette analyse complémentaire pourrait s’appuyer sur le triptyque physique-électronique-cyber et sur les piliers décrits ci-après.

 

 

 

• Évaluation des vulnérabilités intrinsèques de la technologie proposées.

Tout dispositif embarque des vulnérabilités, qu’elles soient liées à des phénomènes physiques (ex. : caméra de vidéosurveillance et changement brutal luminosité) ou à une complexité architecturale (ex. : application accessible partout et par plusieurs sous-traitants).

 

 

• Evaluation de la comptabilités des composantes du dispositif global

L’interdépendance de plus en plus réelle des systèmes et des applications (monde du 3.0) implique que la nouvelle technologie aura des impacts directs ou indirects, plus ou moins identifiés, sur les autres composantes. Il est par conséquent essentiel déposer ces liens au regard du remplacement des technologies pour éviter la déstabilisation involontaire, mais souvent durable, de l’organisation en place.

 

 

• Analyse des retours d’expérience notamment sur les cas d’usage de la technologie afin de définir un niveau de maturité.

L’absence de maturité d’une technologie n’est pas forcément un obstacle à son acquisition, mais elle doit alors être compensée par une analyse très poussée des retours d’expérience à disposition et en particulier des échecs de déploiements.

 

 

• Évaluation du temps d’arrêt maximum supportable (TAMS) et du temps d’arrêt probable (TAP) de la fonction sûreté en cas de compromission delà nouvelle technologie.

 

Sur la base des critères DICP (disponibilité, intégrité, confidentialité et preuve) pertinents issus des analyses des risques cyber, évaluer l’impact sur la fonction permet de fixer rapidement le coût que devra supporter l’entreprise en cas d’arrêt.

 

 

• Evaluation de la capacité d’acceptation des utilisateurs.

 

Les nouvelles technologies pouvant être particulièrement intrusives, une analyse d’impact sur les capacités d’acceptation des utilisateurs devrait être conduite, notamment avant de déployer des technologies sans maturité. Combien d’exemples de technologies de pointe comme celle de la reconnaissance faciale ou de l’iris déployées en lieu et place de technologies plus classique sont été rejetées ou contournées par les salariés ?

 

 

• Évaluation du retour sur investissement.

 

Dans le cas présent, le retour d’investissement n’est pas seulement une logique financière et doit intégrer une approche métier forte, à savoir celle de l’efficacité attendue delà mesure. À ce titre, on peut citer les technologies de protection du travailleur isolé (PTI) qui ont connu un grand essor ces dernières années. Les entreprises ont certes diminué le nombre d’agents de nuit déployés, mais souvent au prix d’une limitation des capacités de levée de doute immédiate et de supervision des alertes.

 

Par définition, choisir c’est exclure. En matière de technologies de sûreté et de sécurité, cela est particulièrement engageant et peut être lourd de conséquences. De fait, la stratégie de choix de solutions, comme celle de leur déploiement, doit être définie avec une vision globale des risques. À chaque étape, il s’agit de s’assurer que la solution, son contexte de mise en œuvre et la gouvernance associée répondent au besoin sans augmenter le niveau de risques.

 

Pour ce faire, il est intéressant de se rapprocher des méthodes agiles d’acquisition de solutions et des services déployés par lot. Chaque lot doit vérifier simultanément le service rendu et le niveau acceptable de risques. Ce fonctionnement permet à l’entreprise de garder une capacité de recul alors que le contexte et les services offerts par les technologies peuvent évoluer rapidement.

 

Cette approche du risque « digital » doit trouver sa place dans une analyse plus large basée notamment sur la convergence des approches sûreté et cyber ainsi que sur un management global des risques des entreprises. Cela implique une stratégie globale de la sécurité, basée notamment sur la capacité des entreprises à désormais analyser la cohérence des indicateurs et autres paramètres trop souvent construits en silos. C’est à ce prix que le dispositif global trouvera son efficacité face à des attaquants de plus en plus professionnalisés, qui mettent en œuvre des scénarios d’atteinte de moins en moins linéaires.