Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Darwin et la sécurité

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Darwin et la sécurité

En matière de sécurité, vaut-il mieux être Darwinien ou Lamarckien ?

Si la dernière matinée-débat organisée par Le Cercle Européen de la Sécurité et des Systèmes d’Information se posait surtout la question vis-à-vis de l’entreprise, il n’est pas inintéressant d’aborder la chose sous l’angle plus réduit de la SSI.

Selon le paléo-anthropologue Pascal Picq, convié par Le Cercle pour expliquer l’évolution à l’espèce des bipèdes RSSI, deux théories co-existent :

Celle de Jean-Baptiste de Lamarck, d’abord, pour qui « la fonction créé l’organe » . Ainsi selon cette théorie les espèces modifient leur comportement ou leurs organes au cours de leur propre existence afin de mieux répondre à leurs besoins spécifiques. Ces modifications sont ensuite transmises à leurs descendants.

Celle de Charles Darwin, ensuite, selon qui les êtres vivants sont en compétition permanente pour leur survie et les ressources extérieures. Eux aussi s’adaptent, mais ces changements sont fortuits, variés, nombreux et surtout ne seront pas tous efficaces. Parmi eux seuls ceux qui permettent d’être plus adapté à l’environnement seront naturellement pérennisés car ils permettront à leurs porteurs de survivre. Ils serviront alors de base à un nouveau cycle d’adaptation.

Bref, chez Darwin ça fuse mais il y a beaucoup de perte, tandis que chez Lamarck on optimise au mieux l’évolution en fonction du besoin, mais ça manque tout de même un peu de variété, et potentiellement d’innovation.

Pour Pascal Picq, la culture Européenne (et notamment Française, ndlr) est d’influence Lamarckienne : c’est une culture d’ingénieurs, de grandes écoles, d’uniformité des élites, où l’on fait carrière dans de grands groupes et où les caractères acquis se transmettent aux descendants (postes, avantages, réseau…)

Les Etats-Unis (et spécifiquement la Californie en matière de technologie), seraient en revanche d’influence Darwinienne : c’est une culture d’entrepreneurs où l’on privilégie l’expérience concrète par rapport au pedigree du diplôme et des grandes écoles.

Qu’est-ce que cela peut nous enseigner en terme de comportements dans l’entreprise ? Selon Pascal Picq dans une approche Darwiniste aucune idée n’est mauvaise : toutes sont bonnes à exposer, mais bien sûr toutes ne seront pas développées pour autant. C’est l’environnement et les pressions extérieures qui se chargeront de faire le tri.

A l’inverse dans une approche Lamarkienne, il ne fait pas bon évoquer des idées qui ne soient pas dans les clous de ce qui a bien fonctionné jusqu’à présent (ou de la « culture » de l’entreprise). L’évolution colle au mieux à ce qui a fait ses preuves jusqu’à présent. On maîtrise alors certes mieux le résultat et l’on sait mieux passer à la vitesse supérieure, mais on peut aussi se priver de bonnes idées en restant soumis aux « bonnes vieilles » habitudes.

Les deux approches ne sont toutefois pas mutuellement exclusives. Pascal Picq suggère ainsi « d’être Darwinien quand tout va bien et Lamarckien quand ça devient tendu » .

En terme de SSI, cela pourrait par exemple se traduire en laissant une grande liberté d’innovation et de travail personnel aux équipes afin d’essayer de nouvelles stratégies, de nouveaux produits, de nouvelles règles ou d’explorer de nouvelles techniques lorsque le volume des attaques et la menace sont faibles. Cela revient alors à considérer le flot constant des attaques que subit une entreprise comme un élément positif permettant d’aider à tester de bonnes idées ou de bonnes évolutions (à condition de suivre ces initiatives afin de repérer celles qui méritent d’être développées)

En revanche, lorsque le risque se fait plus aigu ou les attaques plus ciblées, c’est le retour à la bonne vieille formule du « Je ne veux voir qu’une tête », et aux méthodes qui ont fait leurs preuves : il sera toujours temps de revenir aux expérimentations une fois l’orage passé.

Tout ceci vous semble être du bon sens ? C’est vrai ! Et si, finalement, la clé de l’innovation et l’adaptation, c’était tout simplement le bon sens ? (ce qui risque toutefois d’être compliqué à expliquer lors de votre prochain audit de sécurité…)

Pour un éco-système de PME autour des grandes entreprises.

Peut-être un modèle à suivre pour nos éditeurs : selon Pascal Picq, les grandes entreprises sont très bonnes pour le « business dev » mais moins pour l’innovation. Les PME, en revanche, savent très bien faire ce qu’il appelle « de la fixation de l’innovation » : générer des idées et mettre en marche celles qui le méritent le mieux vis-à-vis des stimulus extérieurs (marché, besoins…). Il conseille donc de prendre le meilleur des deux mondes, et notamment aux grandes entreprises de s’entourer d’un vivier de PME innovantes dont elles pourront aider à développer le marché (sans pour autant les laisser exsangues, ndlr)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.