Mythe de sécurité #1: "Plus de sécurité c'est toujours mieux!"

Nous avons tous l’impression que plus de sécurité ne fait jamais de tort. On est jamais trop protégé! Cette notion est ancrée profondément dans notre psyché… Un nom a même été donné à cette caractéristique, soit l’aversion à la perte.

Cette caractéristique vient modeler notre perception, nous pousse à vouloir surprotéger l’information de toutes les menaces et vulnérabilités possibles. Ce faisant les organisations vont dépenser des fortunes pour protéger des actifs qui parfois ont une valeur marginale ou que la sensibilité n’exige pas autant d’effort. Plus on augmente les efforts en sécurité, plus le retour sur l’investissement se réduit. Il faut trouver le “sweat spot” où l’investissement permet un maximum de protection au meilleur cout possible et que les risques résiduels soient à un niveau acceptable pour l’organisation. À ce titre, nous ne protègerions pas une chaise de bureau avec la même intensité que l’on protège la recette secrète ou la liste de clients.

Je vais utiliser un exemple pour mettre en relief la démesure que peuvent prendre des mesures de sécurité. Lorsque l’armée déplace un objet, elle est contrainte d’employer un protocole qui est approprié selon le niveau de sensibilité de l’objet qui est déplacé. Si par exemple elle désire déplacer un satellite militaire, qui est un actif ultra-secret, l’armée devra mettre en place les mesures nécessaires pour que celui-ci ne soit pas accédé par un tiers non autorisé, sous aucune considération. Alors, le convoi qui transportera le satellite sera escorté par un très grand nombre de personnes, sera sous surveillance active et en aucun moment sera laissé sans surveillance. La valeur stratégique de l’actif justifie le protocole et les couts associés. Le bât blesse lorsque l’on doit déposer le satellite sur une table. Selon les règles, cette table devra être catégorisée au même niveau que le satellite qui sera déposé sur celle-ci. Vous pouvez figurer que le déplacement de cette table va être passablement dispendieux (on parle généralement d’un montant supérieur à 100k$!). Quoique cette situation peut sembler absurde, elle est justifiée selon le contexte d’opération de l’armée. Quand nous sortons du contexte militaire, il est possible d’avoir un peu de souplesse, qui permet de prendre des décisions pour une meilleure allocation des ressources. La règle de Pareto (80/20) est un excellent exemple de cette nature, où 80% des résultats est obtenu par 20% des efforts. Le 80% des efforts restant, va produire qu’un maigre 20% d’amélioration, donc un rendement décroissant à mesure que l’on investit en sécurité.

À cela, il faut aussi considérer que la sécurité est un ensemble de mesure imparfaite, qui mis ensemble vont être plus efficace que la somme de ses parties.

Référence:
(13 Security Myths You’ll Hear -- but Should You Believe?)