Imed Boughzala, Titulaire de la chaire Intelligence Digitale d’Institut Mines- Télécom Business School et référent IMT Disrupt'Campus

Imed Boughzala est Professeur en Systèmes d’information et Directeur du département TIM (Technologies, Information & Management, ex-DSI) à Institut Mines-Télécom Business School et référent IMT Disrupt’Campus. Il est aussi titulaire d’un Executive MBA d’IMT-BS et du programme Management and Leadership in Higher Education de la Harvard Graduate School of Education.

Fondateur de l’équipe de recherche SMART BIS (Smart Business Information Systems) et Directeur actuel d’IS Lab, ses recherches actuelles portent sur l’intelligence digitale, la gouvernance des données et la transformation digitale des organisations.

Depuis septembre 2018, il co-pilote l’observatoire de la transformation digitale des établissements du supérieur en management et fait partie du Collège de Labellisation des dispositifs pédagogiques numériques de la FNEGE ( Fondation nationale pour l’enseignement de la gestion des entreprises 

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

[Chronique] Intelligence digitale : la sécurité et la sûreté digitales, deux concepts parallèles qui doivent se rencontrer dans la cyber sphère

Notre chroniqueur Imed Boughzala analyse un autre aspect utile de l’intelligence digitale pour les dirigeants d’aujourd’hui : la compréhension de la différence entre sécurité et sûreté digitales. Aujourd’hui, les technologies digitales font partie de notre quotidien. Pourtant une question de taille demeure : l’Humain est-il prêt à accueillir et à travailler avec ces nouvelles technologies sans se mettre ou mettre les autres en danger ? Pour répondre question, il est essentiel de faire la distinction entre deux notions proches mains néanmoins différentes : cybersécurité et cyber sureté.

Chronique Imed No.11 L’intelligence digitale comme vous le savez maintenant, est la capacité des individus et des organisations à se saisir des opportunités offertes par les technologies digitales et post-digitales [Intelligence digitale : ses huit dimensions à la poursuite de trois objectifs sociétaux], en les mobilisant à bon escient dans la société et l’économie du numérique.

Cette intelligence permet de prospérer dans un environnement technologique très évolutif qui comporte cependant nombre de risques et de menaces. Elle se construit et se cultive à travers l’expérience et l’interaction répétée avec ces technologies. Plus l’expérience est limitée, plus les individus, tout comme les organisations, prennent des risques liés à ce que l’on appelle communément la cyber sécurité.

Excès de confiance

D’un côté, on peut se demander si l’excès de confiance des individus et des organisations, qui ne maîtrisent pas totalement les technologies digitales malgré un bon équipement, ne les entraineraient pas à commettre des erreurs et à prendre plus de risques. Ces usages inadaptés peuvent avoir un impact important sur la vie de la personne comme le vol d’informations personnelles[1] ou encore sur la continuité d’activité et la performance des organisations comme la mise hors service des infrastructures informatiques ou l’altération des données.

On peut justement se demander si l’effet Dunning-Kruger (1999[2]) ne s’appliquerait pas dans le cas de l’intelligence digitale. Cet effet, aussi appelé « effet de sur-confiance », dispose que les moins qualifiés dans un domaine donné vont souvent surestimer leurs compétences. Ainsi, moins nous sommes digitalement intelligent (i.e. parce que nous croyons bien utiliser notre mobile, y compris les jeunes générations), plus nous prendrions de risques par excès de confiance ou par manque de compétence.

Flou sémantique

De l’autre côté, on peut se demander s’il n’y aurait pas une confusion liée à la définition même de la cyber sécurité même parmi les spécialistes. Il est vrai que les termes sécurité et sûreté font souvent l’objet d’amalgames et de confusion alors qu’ils présentent de réelles différences. En effet, si l’on se tourne vers les définitions présentes dans les dictionnaires comme Larousse, on se rend compte que le sens premier de ces deux mots est identique : « Situation dans laquelle quelqu’un, quelque chose n’est exposé à aucun danger, à aucun risque, en particulier d’agression physique, d’accidents, de vol, de détérioration ». Il faut alors se tourner vers le sens nuancé, sur Linternaute, pour voir une différence :

– la sécurité est alors la « confiance, tranquillité résultant de cette absence de danger »,

– tandis que la sûreté signifie la « qualité de ce qui est sûr et juste dans l’attitude, les gestes, les raisonnements, les goûts… ».

En s’attardant sur les différentes définitions, on en conclut que la sûreté est quelque chose de concret, de garantie puisqu’elle vise à prévenir des actes volontaires (vols, agressions, actes d’incivilités) tandis que la sécurité vise à prévenir des actes involontaires (incendies, accident, catastrophe naturelle). Si l’on se réfère à cette définition, par exemple, un vol dans un supermarché relève de la sûreté alors qu’un incendie relève de la sécurité. La langue anglaise fait également le distinguo. Safety (prevention of accidents) – actes involontaires – est la traduction anglaise pour Sécurité. A l’inverse Security (prevention of malicious activities by people) – actes volontaires – est la traduction anglaise pour sûreté. Certains précisent que la Safety est le fait de se protéger des menaces extérieurs (aspect physique – Deliberate threats) alors que la Security de l’intérieur (aspect émotionnel – Unintended threats).

Changer de perspective

En France, le problème est que contrairement à la sécurité, il n’existe pas de normes en sûreté pour se protéger. En effet pour faire face aux risques liés à la sécurité (actes involontaires), les entreprises ont l’obligation de protéger leurs employés dans le cadre de leur travail, notamment en mettent en place des moyens de prévention et d’intervention. Par exemple, si on prend le cas des mesures à mettre en place pour la sécurité incendie on retrouve : la présence d’extincteurs, la création d’un plan d’évacuation incendie, etc. A l’inverse, pour tout ce qui concerne les actes de malveillances prédéterminés punis par la loi, la plupart des entreprises n’ont rien mis en place.

Il en est de même dans le domaine de l’intelligence digitale. Tout d’abord, il faut préciser que la sûreté digitale ou Digital (cyber) Security, pour les actes volontaires, est la capacité de détecter les cyber-menaces/attaques (usurpation d’identité, piratage, escroqueries, Fake News, logiciels malveillants…), et d’utiliser des outils de sécurité adaptés à la protection des données (Guérir).  Quant à elle, la  sécurité digitale ou Digital (cyber) Safety, pour les actes involontaires, est la capacité de gérer les risques en ligne (Cyberbullying ou harcèlement[3] en ligne, Grooming[4], radicalisation, …), les contenus problématiques (i.e. la violence et l’obscénité), de les éviter et les limiter (Prévenir).

Les professionnels précisent que la cyber sureté – Cyber Security (actes volontaires) s’intéresse aux systèmes technologiques (infrastructures, logiciels, bases de données, Data centers, …) et aux objets connectés alors que la Cyber sécurité – Cyber Safety (actes involontaires) s’attache à la protection des personnes[5].

Au final, développer l’intelligence digitale à travers une « éducation spécifique » – Digital literacy, constitue un acte de prévention essentiel qui reste préférable à l’encadrement de l’usage par la répression à travers les textes de lois et la surveillance.

Encore fois, si la cyber sécurité et la cyber sureté sont deux notions complémentaires, iI s’avère que les réponses ne sont pas forcément identiques entre prévenir et guérir. L’intelligence digitale permet justement de cultiver cette prise de conscience des risques et des menaces auxquels sont exposés les individus, les organisations et même les États. Ces derniers doivent protéger leur souveraineté numérique, notion que je développerai dans une prochaine chronique.

[1] i.e.: accepter les cookies qui enregistrent nos préférences, communiquer des informations personnelles comme un numéro de carte bancaire qui pourra être réutilisé sur un site frauduleux ou encore rentrer en contact avec une personne douteuse sans le savoir.

[2] Justin Kruger et David Dunning, « Unskilled and Unaware of It: How Difficulties in Recognizing One’s Own Incompetence Lead to Inflated Self-Assessments », Journal of Personality and Social Psychology, vol. 77, no 6,‎ décembre 1999, p. 1121–34

[3] Sujet à la une dans les médias dans le milieu scolaire (exemple #anti2010)

[4] « le fait pour un majeur de faire des propositions sexuelles à un mineur de quinze ans ou à une personne se présentant comme telle en utilisant un moyen de communication électronique » est réprimé à l’article 227-22-1 du code pénal depuis 2007 et est puni de deux ans d’emprisonnement et de 30 000 euros d’amende.

[5]There is a beguiling amount of jargon and vocabulary relevant to cybersecurity (systems and things) and cybersafety (people)”, extrait de https://dzone.com/articles/cyber-safety-vs-cybersecurity-whats-the-difference


Commenter

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *