Selon Malcolm Harkins, Chief Information Security Officer (CISO) d'Intel, la plus grande menace pour la sécurité de l'information (Infosec) réside dans une mauvaise appréciation des risques :  "la surestimation ou la sous-estimation du risque est souvent le maillon faible de la sécurité de l'information," a t-il déclaré lors du Forrester Security Forum 2010 qui s'est tenu à Boston. C'est même, selon lui, l'élément le plus significatf auquel doit et devra faire face la sécurité de l'information aujourd'hui et dans l'avenir.

Celui-ci a invité les professionnels présents à Infosec à réfléchir en premier lieu à ce qu'ils croyaient être le plus grand risque auxquels ils sont confrontés dans leurs entreprises. Parmi les réponses, certains ont suggéré "les menaces internes et les individus." Malcolm Harkins a convenu qu'il s'agissait bien des individus, mais peut-être pas pour les raisons que les participants avaient à l'esprit. Pour lui, ce sont l'exagération ou au contraire la minimisation du risque par l'esprit humain qui nous rendent le plus vulnérable au danger.  "Deux facteurs conduisent à cette mauvaise appréciation : les données économiques et les éléments psychologiques," a t-il déclaré. "En matière économique, les choix sont guidés par les décideurs qui dépendent eux-mêmes des incitations et des ressources." Celui-ci a poursuivi en déclarant que, "en tant que professionnel de la sécurité, je commence à croire que nous sommes des architectes du choix. Nous essayons d'amener les gens à penser d'une certaine manière et à prendre des décisions," a-t-il ajouté. "Sur le plan psychologique, plus le bénéfice attendu est important, plus la tolérance au risque augmente. Parmi les exemples, on peut citer l'adoption de technologies comme le cloud computing, la virtualisation, et les médias sociaux. Toutes apportent de gros avantages aux entreprises, si bien que les risques qu'elles représentent pour la sécurité deviennent acceptables," fait-il remarquer.

Mauvaise hiérarchisation des risques

Mais là où les choses se compliquent, c'est dans la manière dont les gens perçoivent les risques liés à ces technologies. Une sous-estimation signifie qu'une entreprise ne peut pas se préparer correctement à certains incidents de sécurité. Et une surestimation du risque signifie qu'une entreprise peut donner trop d'importance à un domaine et en négliger un autre. "Combien d'entre nous recevons des e-mails de nos dirigeants nous demandant ce que nous faisons à propos de tel ou tel risque sur lequel ils viennent de lire un article dans le journal ? "  a demandé le CISO d'Intel. "Ce genre d'exagération peut être aussi frustrant que lorsque le problème est sous-estimé."

Mais Malcolm Harkins a une méthode. "Pour équilibrer ces deux extrêmes et atténuer la vulnérabilité qui résulte d'une mauvaise appréciation des risques, il faut introduire de l'objectivité, de la souplesse et du pouvoir de décision," a suggéré le professionnel de la sécurité avant d'énoncer quatre objectifs importants à réaliser au quotidien pour apporter des parades effectives.

1 - La capacité de prévision : cela revient à utiliser des mesures proactives pour identifier les agresseurs, leurs motivations et leurs méthodes.

2 - La force de conviction : avoir les moyens et l'endurance nécessaires pour soutenir sa position face à d'autres décideurs de l'entreprise.

3 - La patience : allier force de conviction et patience. Ne pas être alarmiste. Attendre tranquillement que l'occasion se présente de remettre le problème sur la table.

4 - La préparation : être prêt à réagir rapidement à un événement ou à faire face à une vulnérabilité.

"Si vous faites tout cela correctement, vous continuerez à gagner de l'influence dans votre entreprise. Vos dirigeants vous considéreront comme un partenaire qui les aide à se protéger," a conclut Malcolm Harkins, avant de prodiguer un dernier conseil : "Ne prenez pas l'attitude de la victime pour gérer les risques."