Un PDG refuse la recommandation du RSSI d’investir dans une solution de reprise après sinistre, estimant qu’il s’agit d’une dépense inutile au motif que l’entreprise n’a jamais connu de panne majeure. Six mois plus tard, un incendie détruit le centre de données et provoque d’importantes pertes financières.
D’un point de vue juridique et éthique, comment qualifier la décision du PDG ?
[A] Une stratégie de partage de risque, en supposant que l’assurance de l’entreprise couvrirait les pertes
[B] Une acceptation de risque raisonnable car la décision était basée sur l’historique de l’entreprise
[C] Un manque de due diligence et de due care
[D] Une violation du premier canon de l’éthique de l’ISC2 : « Protéger la société, le bien commun, la confiance du public et l’infrastructure »
[A] Partage de risque (risk sharing)
Le risk sharing consiste à paratager tout ou partie d’un risque via une assurance, un contrat avec un tiers ou tout type d’outsourcing incluant des clauses de responsabilité.
Dans la question, rien n’indique que le PDG ait négocié une couverture d’assurance spécifique, ni qu’il ait formalisé un transfert du risque. Il ne dit pas : « L’assurance couvrira », il dit : « c’est inutile ». On n’est donc pas dans une stratégie structurée de transfert de risque, mais plutôt dans un refus de dépenser sans approche de gestion de risque derrière.
[B] Acceptation de risque raisonnable (risk acceptance)
L’acceptation de risque (risk acceptance) peut être une décision valide si elle est documentée, basée sur une analyse formelle du risque, conforme à l’appétence au risque de l’organisation et si les impacts potentiels sont jugés acceptables par la direction.
Dans le contexte de la quesiton, la justification est faible : « ça ne nous est jamais arrivé » ≠ analyse de risque. Le RSSI a explicitement signalé la nécessité d’une mesure de protection. L’impact potentiel (et finalement réalisé) est majeur : destruction du datacenter, pertes financières importantes. La proposition [B] n’est donc pas valide car la décision du PDG n’est ni raisonnable ni correctement instruite.
[D] Violation du premier canon de l’ISC2
Le premier canon de l’ISC2 est « Protéger la société, le bien commun, la confiance du public et l’infrastructure. »
Et il y a plusieurs problèmes avec la proposition [D]. Tout d’abord, le scénario parle d’un PDG, pas d’un professionnel certifié ISC2. Or le code d’éthique ISC2 s’applique aux membres/certifiés. Ensuite, même si l’on pourrait argumenter qu’une mauvaise gouvernance met en danger la société au sens large, les questions CISSP privilégient en général les notions de gouvernance, de due care / due diligence et de gestion des risques. Conclusion, la proposition [D] est éthiquement discutable, mais elle est moins précise et surtout moins alignée avec l’intention pédagogique de la question que la proposition [C].
[C] Un manque de due diligence et de due care.
Dans le vocabulaire du CISSP, l’exepression « Due care » traduit le fait de mettre en place des mesures de protection adaptées pour protéger les actifs (assets) de l’organisation, en cohérence avec ses objectifs et ses risques. L’expression « Due diligence » traduit la capacité à démontrer que l’on a anticipé pour qu’on puisse ensuite agir avec due care : analyses de risques, études, rapports, décisions documentées, revues régulières, etc.
Ici le RSSI recommande une solution de reprise après sinistre (DR), donc une mesure de sécurité directement liée à la continuité d’activité (BC/DR) et la protection des actifs critiques (centre de données, systèmes, données, revenus).
La décision du PDG est un problème de due care car :
- La menace « incendie » est conforme au référentiel de menaces classique : ce n’est pas un scénario exotique.
- L’impact potentiel est élevé (ce que l’incendie confirmera).
- Le RSSI, en tant que conseiller sécurité, signale le risque et propose un contrôle approprié (solution DR). Refuser sans réelle analyse ni mesure compensatoire n’est pas raisonnable au sens managérial.
C’est aussi in problème de due diligence car le PDG ne semble pas avoir demandé une analyse de risque formelle, une analyse coût/bénéfice (coût de la solution vs coût potentiel d’un sinistre), des avis complémentaires (audit, assurance, comité risques, etc.). Sa décision repose sur un biais cognitif : « ça ne s’est jamais produit, donc ça n’arrivera pas », ce qui est aux antipodes de la démarche de gestion de risque. Un dirigeant qui ne met pas en place des mesures de sécurité raisonnables et proportionnées aux enjeux, alors qu’il a été alerté, est en situation de manque de due care / due diligence et peut engager la responsabilité de l’entreprise, voire personnelle dans certains contextes (négligence).
✅ La bonne réponse est la proposition [C]
Pour en savoir plus sur la gestion des risque nous vous recommandons de suivre le module n°2 de notre formation CISSP en distanciel.
🏆 Avec nos nouvelles formules Silver et Gold, passez l’examen CISSP en toute sérénité : le passage de l’examen est inclus et vous bénéficiez d’une seconde tentative gratuite en cas d’échec.
➡️ Découvrez nos formules CISSP : https://www.verisafe.fr/formation-cissp
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
