Menace informatique : décrypter la recommandation de l’OCDE

Une menace informatique peut rendre indisponible les ressources informatiques ou piller le capital informationnel.

Malgré la sensibilisation à marche forcée des décideurs Etatiques et du monde de l’entreprise, les problématiques de cybersécurité sont encore perçues exclusivement comme des questions à caractère technique qui requièrent des solutions de même nature.

Pour sortir de la logique selon laquelle les politiques de cybersécurité sont pilotées par les contraintes, il faut partager le constat qu’un changement de paradigme permettrait de combattre l’idée que le risque de cybersécurité n’appelle qu’une réponse technique.

La Recommandation de l’OCDE et son document d’accompagnement change totalement le paradigme en combattant l’idée selon laquelle le risque de sécurité numérique appelle une réponse de nature fondamentalement différente par rapport aux autres risques.

Pour mieux imprimer ce changement de paradigme, ni le terme de  » cybersécurité  » ni le préfixe  » cyber  » ne sont utilisés.

La Recommandation de l’OCDE sous-tend l’idée qu’une gestion dynamique du risque de sécurité numérique, non perçus ou pilotée exclusivement par les coûts ou les contraintes, permet de ramener à un niveau acceptable ce risque au regard des avantages économiques attendus.

La Recommandation définit un cadre de gestion et d’application de 4 principes :

• Sensibilisation générale, compétences et autonomisation : Ce principe directeur invite les parties prenantes (gouvernement , organisations publiques ou privées, individus) à mieux comprendre le risque de sécurité numérique et mieux évaluer les impacts notamment quant à la réalisation de leurs objectifs économiques et sociaux.
• Responsabilité : Ce principe appelle les parties prenantes à faire preuve de responsabilité et de pouvoir répondre de la gestion du risque numérique, tout en admettant qu’un certain niveau de risque de sécurité numérique doit être accepté pour pouvoir atteindre les objectifs économiques et sociaux.
• Respect des droits de l’Homme et des valeurs fondamentales : La gestion du risque de sécurité numérique devrait être réalisée dans la transparence et le respect des droits de l’Homme et des valeurs fondamentales (liberté d’expression, libre circulation et confidentialité de l’information, protection de la vie privée, etc.).
• Coopération : Le caractère interconnecté de l’environnement numérique et l’interdépendance des parties prenantes impose une coopération nationale, régionale et internationale (1).

Le texte définit les conditions d’application de 4 principes opérationnels :

• Cycle d’évaluation et de traitement du risque : Il repose sur une évaluation permanente du risque. Elle doit estimer les conséquences qu’une menace informatique ou une vulnérabilité pourrait avoir sur les activités économiques et sociales.
• Mesures de sécurité : Elles doivent être appropriées et proportionnées au risque en tenant compte de leurs effets sur les activités économiques et sociales dont la protection est recherchée.
• Innovation : L’innovation devrait faire partie intégrante de la réduction du risque.
• Préparation et continuité : Dirigeants et décideurs devraient adopter un plan de préparation et de continuité afin d’atténuer les risques et menaces et prendre en compte la continuité et la résilience des activités économiques et sociales.

La gestion dynamique du risque de sécurité numérique permet de ramener ce risque à un niveau acceptable au regard des avantages économiques qu’il procure en évitant la réalisation de la menace informatique.

Didier Gazagne
Lexing Droit Intelligence économique

(1) Gestion du risque de sécurité numérique pour la Prospérité économique et sociale (Recommandation OCDE).