Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Sorry, Cyber: You Arent the Only Ones Saving the Company from Itself

2 minute de lecture

Mis à jour :

La cybersécurité comme système de gestion de pouvoir

La cybersécurité n’est pas une fonction isolée dans son rôle de garde-fou. Comme la finance, l’ingénierie ou les opérations, les équipes de sécurité doivent constamment équilibrer les risques face à des pressions organisationnelles visant à contourner les règles pour des gains immédiats. Cette friction est un phénomène systémique inhérent à la structure de toute entreprise.

Points clés

  • La nature du conflit : Les tensions entre les fonctions de contrôle (Sécurité) et les fonctions opérationnelles ne sont pas des insultes personnelles, mais le résultat prévisible de la vitesse opérationnelle heurtant les limites structurelles.
  • Les trois circuits du pouvoir (Modèle de Steward Clegg) :
    • Circuit épisodique (Micro) : Interactions humaines directes, conflits de volonté, autorité locale (ex: un manager exigeant une exception de sécurité).
    • Circuit dispositionnel (Macro) : Normes culturelles, politiques et règles de jeu définissant ce qui est légitime au sein de l’entreprise.
    • Circuit facilitatif (Macro) : Infrastructure technologique et environnement qui force la conformité par la conception (ex: pipelines CI/CD bloquants).
  • Points de passage obligatoires (OPP) : Ce sont les goulots d’étranglement (processus ou systèmes) où les trois circuits se croisent. Contrôler ces points est la clé pour imposer une gouvernance efficace.

Vulnérabilités organisationnelles

  • Le “Shadow IT” : Apparaît lorsque les contrôles de sécurité (OPP) sont trop manuels ou frustrants, poussant les équipes à utiliser des alternatives contournant la visibilité et la protection de l’entreprise.
  • L’alignement des incitations : Les violations de sécurité ou de conformité surviennent souvent parce que les indicateurs de performance (KPI) des équipes opérationnelles entrent en conflit direct avec les objectifs de sécurité.

Recommandations stratégiques

  1. Réviser les points de passage obligatoires (OPP) : Automatiser les contrôles pour qu’ils deviennent le “chemin de moindre résistance”. Une sécurité fluide réduit le besoin de confrontation directe.
  2. Réécrire le circuit dispositionnel : Aligner les objectifs de sécurité avec les mesures de performance des autres départements. La sécurité doit être intégrée à la définition de l’excellence opérationnelle, et non rester une contrainte externe.
  3. Exploiter le circuit facilitatif : Cesser de s’appuyer sur la volonté humaine (formation ou avertissements) pour privilégier des architectures “secure-by-default” (ex: clés FIDO2, authentification renforcée, infrastructure automatisée) qui imposent la sécurité de manière transparente dans le flux de travail.
  4. Adopter une vision systémique : Cesser de traiter chaque demande de dérogation comme un incident épisodique. Chercher la “cause racine de la cause racine” (dysfonctionnements organisationnels ou objectifs mal alignés) pour éliminer structurellement la pression sur les équipes de contrôle.

Source

Vous pourriez aimer