Le qualiticien dans la politique de sécurité informatique des systèmes d’information
lundi 1er mai 2023
Jadis plus employée pleinement dans le domaine industriel, de la fabrication à l’assemblage de produits sur toute la chaîne de transformation, en passant par le maniement en entreprise sur toute la chaîne de transmission, l’approche Quality-Health-Safety-Environment (QHSE) aura fini de migrer, telle une clé étrangère, à la table de l’élaboration des politiques de sécurité des systèmes d’information au sein des organisations.
Les pratiques antérieures, en matière de QHSE, beaucoup plus suspendues à la rigidité des tâches et à la lourdeur des équipements, voient leur passé récent enterrer par la sophistication des technologies, qui gardent tout de même leur robustesse mais dans la souplesse des traitements sécurisants.
Il s’agit justement d’un élargissement de l’application QHSE, de l’escarcelle des biens au terreau fertile des services, comme pour s’aligner à un monde d’économie immatérielle qui étend ses tentacules à l’évaluation des risques professionnels liés à l’abstrait (à côté du palpable).
L’importance de la spécialité QHSE en justifie précieusement la prise en charge.
Pour exemple, en France, la loi 2011-867 du 20 juillet 2011 est votée et entrée en vigueur le 1er juillet 2012, pour rendre obligatoire le recrutement ou la désignation d’un intervenant ou de plusieurs en charge de la prévention des risques professionnels, quelle que soit la taille de l’organisation.
Ce qui n’a pas manqué de marquer le développement de la discipline tant du côté des créations informatiques qu’au niveau des établissements d’enseignement supérieur et de formations professionnelles.
Des logiciels QHSE basés sur le cloud ont connu une poussée et une percée fulgurante. On peut citer Enablon, Integrum, Gensuite, Quality SaaS, Izypeo, etc.
L’Université Gustave Eiffel offre un Master QSI (Qualité Sécurité informatique) censé prédisposer ses profils sortants à concevoir une démarche qualité, c’est-à-dire, connaître les référentiels normatifs et réglementaires liés aux Systèmes d’information, animer la transformation des usagers et compétences.
Rappelons-le d’emblée, à l’origine du management de la qualité dans l’approche QHSE, il fallait surtout se pencher sur les risques professionnels liés aux interactions non abstraites dans le cadre de la réponse aux exigences de performance des différents compartiments de l’entreprise.
Un responsable QHSE devrait dès lors être un profil plus ou moins partagé entre la connaissance des cadres normatifs et réglementaires, la sensibilité à l’économie de l’humain pour l’hygiène et la sûreté, en lui-même et l’écosystème tout autour.
Dorénavant, depuis que les systèmes d’information ont tendance à utiliser des systèmes embarqués, des objets connectés et une bonne dose d’intelligence artificielle, sous le prisme du cloud et de l’informatique décisionnelle, il est devenu impérieux que les politiques de sécurité envisagent l’intégration de l’approche QHSE dans leur poussée puisque les supports (abstraits ou concrets), aujourd’hui dispersés dans le temps et répartis dans l’espace, font partie intégrante et continuelle des collaborateurs intelligents des professionnels de tous bords.
De ce fait, il ne serait pas judicieux de confiner certaines questions à la périphérie de la sécurité informatique parce que celle-ci est globale et asymétrique.
L’informaticien est de facto dans la QHSE dès lors que toute création logicielle en ce sens s’accomplit par le truchement de son expertise.
C’est justement le lieu, pour le qualiticien, de s’inviter à la mise en place de systèmes d’information où une politique de sécurité informatique établit inéluctablement le trait d’union propre à l’informaticien-qualiticien, pour une gestion concertée et optimale des risques.
Cela part de la planification de mesures préventives et actions correctives à travers un Tableau opérationnel de Suivi adéquat des Dynamiques (TOSAD), en vue de l’amélioration des processus. Cela rime avec la déclinaison de Key Performance Indicators (KPI) basés sur une batterie de tests adossés au quotidien digital et donc un système à éprouver incessamment.
Pour ce faire, il est indiqué d’enrôler l’historique (répertoire) des incidents techniques, intentionnels ou accidentels, dans un Document unifié d’Evaluation des Risques professionnels (DUERP) dont la gestion responsable ne se lassera de partager les bonnes pratiques. La richesse d’une telle documentation est plus en vue lorsqu’elle est la moins routinière possible, afin de favoriser l’ouverture de pistes innovantes favorables à l’éclosion des idées.
En effet, l’informatique utilise de plus en plus des gadgets électroniques sophistiqués, mobiles ou fixes, qui concourent à l’atteinte d’objectifs stratégiques de gestion et dont le niveau d’exposition des utilisateurs et d’exploration des ressources, au sein des organisations, est subordonné à des unités de risque qu’il importe de savoir mesurer.
Ce qui fait que la technologie n’a pas infesté le management de la qualité que par la promotion de logiciels QHSE, mais également par le développement de la culture numérique favorable à la globalisation nécessaire toute politique de sécurité informatique.
L’on se rend compte de l’opportunité d’une montée en puissance d’ingénieurs informaticiens-qualiticiens dans les systèmes de pilotage et opérant des organisations. Ces profils auront surfé sur la chance que les questions écologiques sont de sérieuses préoccupations mondiales et le cours des évènements positionnent bien leur essor à la portée des enjeux présents et futurs.
Oui dans la sécurité informatique, il y a bien des enjeux à l’autel des menaces et opportunités, des vulnérabilités et contre-mesures :
– il y a une qualité des services numériques à garantir, par l’offre de confort aux clients et d’aisance aux professionnels (Q) ;
– il y a une santé numérique à préserver, par le soin à l’usage, tant au niveau des hommes que des appareils (H) ;
– il y a une réputation à encadrer, par l’utilisation responsable des ressources immatérielles et immatérielles (S) ;
– il y a un environnement à prévenir des désastres naturels et occasionnels, par la circonscription des usages au cadrage indiqué et au respect des amortissements (E).
En sus, les technologies émergentes liées à l’intelligence artificielle auront donné de l’appétit à tous ceux qui voudront bien s’adonner au métier de qualiticien en sécurité informatique. Elles auront poussé des ailes que l’approche QHSE en sécurité informatique participera à conformer aux prescriptions déontologiques et éthiques dans la conception, la modélisation, la réalisation et le déploiement des systèmes d’information. Il y va du sens élevé de la responsabilité dans le traitement qualitatif et quantitatif de l’information au moyen de procédés qui devront, au fur et à mesure, se familiariser aux exigences de qualité, d’hygiène, de sûreté et d’environnement de travail d’équipe.
S’agissant d’une affaire collaborative, à incidence sur le milieu naturel (gestion des parcs, vétusté, obsolescence, débris électroniques, etc.), il est nécessaire de rappeler que les objectifs de sécurité informatique ne pourront plus camper principalement sur l’intégrité, la confidentialité et la disponibilité. Ils devront impérativement placer l’économie de l’humain au cœur de leur acceptions. Car l’homme, dont la nature est menacée, est le premier acteur de la rentabilité escomptée de l’usage des technologies, pour amoindrir les risques et accroître les performances.
De ce point de vue, une politique de sécurité, devant être globale, même si elle demeure asymétrique, épouse un :
– Q (qualité) à ses niveaux logique et applicatif ;
– H (hygiène) à son niveau d’exploitation des ressources numériques ;
– S (sûreté) à son niveau de précautions, d’attitudes et de comportements d’usage responsable ;
– E (environnement) à son niveau physique, des réseaux et communications (modération).
C’est pourquoi, d’antan à l’allure des sciences de gestion (management de la qualité), un qualiticien a un pendant informaticien dans l’élaboration de politique de sécurité des systèmes d’information, un penchant chimiste dans la gestion optimisée des procédés de laboratoire, un flair pétro-gazier dans l’exploitation des ressources naturelles, etc.
Plus qu’un testeur, le qualiticien est un professionnel transversalement ouvert à toutes les composantes de l’organisation et au monde. Porteur d’initiatives innovantes, dévoué au service à l’exploitation et à l’accompagnement aux changements, il est appelé à composer avec tout le monde.
La migration QHSE d’un secteur à un autre est la garantie de l’agilité des profils intervenants et de la résilience face aux mutations socioprofessionnelles.
Professeur d’Informatique certifié (APC&PPO) systèmes d’information et bases de données (R&D), Audit et Sécurité informatique
Entrepreneur social et du numérique éducatif (ETIC)
Directeur-Fondateur de Success4All Promoting
Formateur en Gestion des organisations
Auteur aux Éditions universitaires européennes (EUE)
(Source : Le Techobservateur, 1er mai 2023)