La prescription de la sécurité informatique Figures de la solidarité sociotechnique J. DENIS ATELIERS DU LUNDI 03.03.2008
SÉCURITÉ INFORMATIQUE, CRITIQUE ET MAILLONS FAIBLES Le paradoxe de la société de l information Informatisation massive des infrastructures organisationnelles Augmentation des discours d alerte et évidence sécuritaire Du côté des prescripteurs Des usagers inconscients Qu il faut éduquer Du côté de la critique Des technologies à décrypter (enjeux commerciaux, flicage, etc.) Face aux besoins réels et aux droits des usagers Une chaîne sociotechnique avec ses maillons faibles Un jeu de balancier hommes/machines 2
DES DÉBATS AUX ACTIVITÉS ORDINAIRES Quelles conséquences de cette évidence? Quelles formes d équilibrage de la balance? Quelles difficultés concrètes? 3
CONTEXTE DE L ENQUÊTE FINACEMENT FTR&D (SUSI) Ce que sécuriser veut dire (exploration) Usages ordinaires, cas concrets Formes organisationnelles, dispositifs, etc. Posture pragmatique 43 Entretiens dans des entreprises très variées (secteurs/tailles...) Les définitions locales des prescripteurs et des utilisateurs Des contours de la sécurité Des places des uns et des autres Quels problèmes «situés»? Quels arguments? Quelles solutions? Enjeux Ne pas s arrêter a priori aux antinomies (prescrit/réel, ingénieurs/usagers) Saisir la complexité des chaînes sociotechniques mises en place Plus généralement : appréhender une forme de prescription technique 4
DEUX AXES Sécurité informatique et prescription(s) Sécurité et usages : le jeu des investissements 5
SÉCURITÉ INFORMATIQUE ET PRESCRIPTION(S) La prescription sécuritaire dans l organisation Des prescripteurs sans statuts organisationnels clairs En concurrence avec les prescripteurs «officiels»? Quelles relations prescription sécuritaire/ligne hiérarchique? Sécurité ordinaire et «collectif d égaux» Des règles applicables à tous Les «faveurs» hiérarchiques comme ruptures de chaîne Régime de soumission à la règle 6
SÉCURITÉ INFORMATIQUE ET PRESCRIPTION(S) Quand la sécurité travaille l organisation Profiling et «processus organisationnel» (Strauss, 1988) Questions pour les profils : qui fait quoi? qui est dedans qui est dehors?... Travail d objectivation des structures organisationnelles Une articulation forte des problématiques techniques et organisationnelles Un jeu de places sensible Enrôlement des lignes hiérarchiques Délimitation restreinte du rôle des services informatiques «Il faut que ça soit vraiment une application de la Direction Générale. [ ] Nous on est garants, on est les gendarmes, nous on mais on n est pas le prescripteur» Des règles managériales sur lesquelles fonder les règles techniques Au-delà de la soumission : le montage d «agencements organisationnels» (Girin, 1995) 7
SÉCURITÉ ET USAGES LE JEU DES INVESTISSEMENTS Quelles tensions prescrit/usages? Le poids humain de la sécurité Identifiants et investissement dans la mémoire «interne» Limites cognitives, supports externes et ruptures de chaîne (post-it, fichiers, etc.) Stratégies personnelles (rangements, cryptage...) Nouvelles politiques et expérimentations techniques (ID unique, carte à puce...) = Changer la nature du maillon identificatoire Jeu politique d équilibrage entre hommes et machines pour définir l action et ses responsabilités 8
SÉCURITÉ ET USAGES LE JEU DES INVESTISSEMENTS Enrôlement et retrait des usagers : «Chacun son métier» Vs. «C est l affaire de tous» Les bases du «désengagement» des usagers Les compétences sont dans les services informatiques «Moi, je suis un commercial, je suis rémunéré pour Je ne suis pas payé pour voir les problèmes d informatique» Une demande forte d automatisation et de transparence «L informatique, leur job à eux, c est de sauvegarder, crypter, vérifier que tout fonctionne bien et moi, je fais mon job. Moi, ça se résume à appuyer sur une touche pour crypter mes données, point.» Les investissements humains de la prescription technique L impensable sécurité «purement technique» Attitudes, sensibilité... compétences Automatisation et risques de «désocialisation», i.e. déresponsabilisation Des usagers pour le tout technique / Des ingénieurs pour le composite 9
CONCLUSIONS La mise en place de solutions sécuritaires comme dynamique politique La place et le rôle des entités qui composent la chaîne sociotechnique ne vont jamais de soi Les processus d enrôlement sont multilatéraux Chaque maillon de la chaîne est le fruit d un travail de convention, jamais complètement clos Définitions en commun des régimes de solidarités sociotechniques acceptables Jeu de petits équilibres locaux entre hommes et machines Chaque forme d association est à la fois un point d appui et un résultat de l action sécuritaire 10