Vulnérabilité
Définition
A l’origine, la notion de vulnérabilité renvoie à la finitude et à la fragilité de l'existence humaine. Selon la définition du Larousse, est vulnérable ce qui est exposé aux atteintes d’une maladie, qui peut servir de cible facile aux attaques d’un ennemi, qui par ses insuffisances, ses imperfections, peut donner prise à ces attaques. Le Petit Robert nous permettra de compléter cette définition en ajoutant que ce qui est vulnérable offre peu de résistance, est perméable aux menaces et aux dangers. On parle de position vulnérable, d’argumentation vulnérable, etc. Dans un système quelconque (un pays, une entreprise,…), les risques auxquels ce système est confronté, résultent de l’interaction entre des facteurs intrinsèques et extrinsèques. Les vulnérabilités sont ces facteurs intrinsèques, des faiblesses du système qui le rende sensible aux menaces (facteurs extrinsèques). Les vulnérabilités peuvent être regroupées selon leur origine. On distingue ainsi les vulnérabilités :- Des personnes que l’on retrouve en termes de sécurité sous l’appellation «facteur humain» - Des organisations, au niveau du management, des relations internes/externes, de la culture - Des structures, dans la conception des locaux, des matériels, des installations stratégiques ou opérationnelles, à travers les facteurs environnementaux caractérisés par leur complexité et leur niveau de turbulence.Enjeux
Aujourd’hui, l’un des principaux enjeux pour les entreprises, est leur difficulté à bien percevoir leurs vulnérabilités et donc les risques auxquels elles font face. Ce déficit systémique est le culte de l’infaillibilité (ou syndrome dit du Titanic), et représente une barrière immédiate à toute tentative de réflexion en matière de sécurité. Or il est en effet souvent constaté une absence de stratégie de sécurité (politique, organisation), une faible ou inexistante sensibilisation des personnels, une absence de plan de sauvegarde, de plans d’intervention et de secours, une méconnaissance de la réglementation, une formation technique et juridique insuffisante des utilisateurs … Cette approche, longtemps centrée exclusivement sur le système d’information de l’entreprise s’intègre aujourd’hui dans un dispositif global trouvant sa justification dans les ENJEUX suivants : - Des enjeux économiques et financiers très importants imposent la protection de toutes les composantes du patrimoine informationnel et immatériel de l’entreprise. - Le système d’information et de communication (S.I.C.) est l’un des actifs immatériels dont l’importance ne cesse de croître. Il est au centre de toutes les préoccupations des acteurs de l’entreprise, qu’elles concernent l’organisation, la gestion et la protection du patrimoine intellectuel et industriel, la protection interne, la sécurité juridique, l’administration de la preuve numérique, la gestion de crise, les différentes veilles … Il participe au processus de création de valeur et son impact est important sur le développement des autres actifs. - La protection du S.I.C est de ce fait intimement liée aux autres stratégies de sécurité/sûreté. Son développement organisationnel impose une approche globale de toutes les composantes de la protection de l’entreprise et s’inscrit dans une « démarche qualité ». - Une vision stratégique et organisationnelle est indispensable à tout manager dans l’entreprise. - Cette stratégie de protection de l’entreprise doit coller aux besoins de l’entreprise, être évolutive, prendre en compte tous les paramètres environnants (comme par exemple le développement de la dépendance au réseau internet et le « web2.0 » qui joue un rôle tellement important dans les actions offensives et les stratégies de veille (« I.E.2 » ), par une attitude d’anticipation non seulement défensive mais également offensive. Si l’analyse des vulnérabilités peut encore être envisagée de manière rationnelle dans une perspective stratégique, elle trouve cependant sa limite dans une approche économique plus pragmatique à laquelle se réfère le dirigeant pour exercer ses compétences personnelles en matière de leadership. Celui-ci devra alors définir le seuil à partir duquel une vulnérabilité doit être considérée comme critique au regard du rapport investissements/pertes qu’elle engendre.
Perspectives
Dès lors qu’elles tentent de mettre en place une politique de sécurité, les organisations sont confrontées à une difficulté majeure : l’analyse du risque, dans la logique de renforcement homogène de la chaine sécuritaire, qui doit être exhaustive et globale. Cela implique de bien vouloir prendre en compte la totalité des risques potentiels existants, et donc d’avoir une vision d’ensemble des interactions possibles entre les vulnérabilités, les risques, les menaces et les dangers. Cette stratégie globale de protection de l’entreprise peut s’organiser à partir des vocables suivants :- La politique de sécurité - L’organisation de la sécurité - La protection physique - La protection du S.I.C. - La conformité – La sécurité juridique - La veille, l’influence - La préparation à la gestion de crise.Bien sur, il existe aujourd’hui des approches en matière de gestion des risques, capables de fournir les outils nécessaires aux dirigeants afin qu’ils puissent protéger leurs entreprises faces aux menaces liés à l’environnement dans lesquelles elles évoluent. L’intelligence des risques fait partie de ces disciplines qui rassemble de manière global, la sécurité, la sûreté, les risques environnementaux et les risques de management. Elle se base notamment sur la prévention, qui découle de l’analyse des vulnérabilités et des risques et relève d’une stratégie d’évitement (sensibilisations, mesures préventives, …). Si la guerre économique impose désormais aux entreprises d’être sensibilisées aux problématiques de sécurité globale, et notamment l’identification de leurs vulnérabilités, c’est aussi parce que certaines entreprises n’hésitent pas à user de moyens illégaux, leur permettant de profiter pleinement des vulnérabilités de leurs concurrents, et ainsi récupérer des parts de marchés, conquérir de nouveaux marchés, et enrayer la concurrence.
