Aujourd’hui, le concept de résilience s’impose de plus en plus dans l’approche d’une sûreté effective. Que ce soit pour les entreprises ou pour les services publics, les risques apparaissent comme polymorphes et évolutifs, rendant finalement l’appréhension de la menace de plus en plus complexe. Sur cette base, les acteurs de la sûreté s’efforcent de concevoir, modifier et maintenir des systèmes fiables afin de combler le fossé persistant entre une menace dynamique, motivée et réactive et une défense lourde et souvent trop lente.
Si le terme de résilience est majoritairement présent dans les secteurs tels que le nucléaire ou l’aviation civile, sa pertinence lui permet néanmoins d’être globalisé à une pluralité de domaines. Alors que le concept est souvent défini communément comme « la capacité pour un organisme, ou une organisation quelconque, à retrouver ses propriétés initiales après une altération », il paraît pertinent de pousser la réflexion au-delà de ce constat. Il faut noter dans un premier temps, que la résilience et la sûreté ne sont pas deux termes à comparer. Elles agissent ensemble et sont imbriquées, interdépendantes et complémentaires. Néanmoins, la sûreté est une fonction, c'est-à-dire une profession ayant pour vocation à établir des mesures concrètes. La résilience, elle, est un concept, une approche permettant de comprendre comment réagir et s'adapter face à une crise. La résilience pourrait, d’une certaine manière, être considérée comme le moyen d’atteindre l’objectif qu’est la sûreté, et ce, au travers de trois piliers : la prédiction, la prévention et la réaction.
Prédiction, prévention et réaction : l’édifice d’une résilience performante
La première phase de la mise en place d’une résilience efficiente consiste à connaître ses faiblesses et connaître la menace. En effet, il apparaît indispensable de faire un état de la menace en amont, afin de comprendre comment la contrer, ce qui revient à analyser le risque pour mieux s’en protéger. Cela implique le renforcement d’une capacité d’évaluation et de partage d’information inter-acteurs afin de repérer de potentiels dangers et d’établir les mesures prioritaires et coordonnées pour y faire face.
Cette évaluation peut être indexée sur des incidents signalés, des attaques déjà effectuées ou encore sur des renseignements fournis par les services de police, les groupes spécialisés ou encore les commissions sûreté en entreprise. Tout cela s’inscrit dans le premier des trois éléments de la résilience. Prédire et comprendre le risque afin d’améliorer l’approche de défense, c’est-à-dire : s’adapter.
Le deuxième pilier de la résilience est incarné par la prévention. De la prévention découle la dissuasion et la protection. Dans une logique de complémentarité, les mesures physiques mises en place visent tout d’abord à protéger de la menace mais aussi à décourager l’adversaire. En effet, plus la cible est difficilement atteignable, plus le taux d’échec est important. Dans cette impulsion de résilience dynamique préventive, un mot d’ordre apparaît face à la menace qui ne cesse d’évoluer et de croître : la résistance.
Alors que la prévention s’inscrit dans une logique proactive, la réaction, la deuxième notion s’inscrit dans une logique réactive. Chaque acteur établit des procédures indexées sur des attaques déjà perpétrées après un événement, via notamment des “retours d'expériences". A titre d’exemple, en réaction aux attentats du 11 septembre, en novembre 2003 entrait en vigueur la norme de l'OACI exigeant des portes de cockpit renforcées sur les vols internationaux de passagers à bord des avions de plus de 60 passagers. La réaction s’inscrit donc dans la complémentarité de la prévention, ce sont les circonstances d’application des mesures qui diffèrent.
Ces trois piliers permettent dès lors d’acquérir une première vision des logiques de résilience. Il apparaît néanmoins pertinent de mentionner certaines notions complémentaires à la résilience, indispensables à une approche globale et pertinente.
Des notions complémentaires à la résilience, essentielles à une approche systémique
Premièrement, la défense en profondeur, ou « defense in depth ». A l’origine utilisée dans le domaine militaire, la logique du concept s’est progressivement globalisée pour finalement recouvrir de multiples secteurs. L’ANSSI traduit cette notion par « le principe le plus universel du concept de défense en profondeur et qui se retrouve dans les trois domaines, militaire, industriel et sécurité des systèmes d'information, est celui de plusieurs barrières indépendantes. » Ces barrières de protection mentionnées ne sont pas automatiquement liées entre elles mais elles nécessitent d’être indexées les unes sur les autres, afin de garantir une cohérence du système de sûreté. Aucune des mesures de la défense en profondeur ne se suffit à elle-même, c’est la combinaison des barrières qui permet l’étanchéité du secteur. La défense en profondeur, est à la fois complémentaire et imbriquée à la résilience. A l’aide d’une approche systémique, elle doit se caractériser principalement par son réalisme, son acceptabilité, sa globalité et son efficacité.
La deuxième notion qu’il paraît intéressant d’affilier à la résilience est le management du risque. Ce dernier peut être défini comme « l’ ensemble des actions et préventions en rapport avec la probabilité de survenance d’ un événement grave ». La gestion des risques est axée sur l'anticipation de ce qui pourrait ne pas se dérouler comme prévu et sur la mise en place d'actions pour réduire l'incertitude à un niveau tolérable.
Notons par ailleurs que cette notion est plus “globale” que celle d’analyse du risque. Un bon management du risque s’intègre également dans une analyse "rapport coûts-bénéfice" entre l’ampleur de la menace et l’intérêt qui lui est conféré. Le management du risque adopte donc une logique proactive autour de l’identification, de l’évaluation, de la réduction des dangers et de l’acceptation d’un risque résiduel.
Enfin, c’est la Security by design qui constitue la troisième notion complémentaire à la résilience. L’expression Security by design désigne un “produit tel qu’un logiciel dont la sécurité et la notion de risque sont au cœur de sa conception. Cette approche permet d’augmenter la sécurité du produit pour le protéger de potentielles menaces en réduisant les risques de failles.” La Security by design repose sur trois principes clefs : la minimisation de la surface d’attaque dès la conception, le principe du moindre privilège, ainsi que la défense en profondeur (concept vu précédemment). Ce concept est par ailleurs majoritairement juxtaposé aux stratégies de cybersécurité.
Ces mécanismes de défense en profondeur, de management du risque et de Security by design viennent soutenir l’édifice d’une approche globale et commune de la sûreté. Si autrefois la résilience était davantage affiliée à une logique “réactive”, on observe aujourd’hui une reconsidération du concept. Alors que la nature des risques et des menaces semble toujours plus protéiforme, chaque notion engagée ci-dessus apparaît comme catalyseur d’un fonctionnement effectif de la résilience.
Eva Burgat pour le Club Sûreté de l’AEGE
Pour aller plus loin :