A première vue, l’intérêt de l’OCDE pour la sécurité de l’information pourrait sembler incongru. Qu’est-ce qu’une organisation intergouvernementale vieille de cinquante ans et bâtie sur la notion de collaboration volontaire entre les Etats pourrait bien apprendre aux professionnels de la SSI ? Que pourrait-elle avoir a dire sur la sécurité de systèmes d’information ?

Pourtant, l’Organisation de Coopération et de Développement Économiques (OCDE) a beaucoup à dire, et dans de très nombreux domaines : de la lutte contre la corruption à l’agriculture en passant par les migrations internationales, la fiscalité et, bien entendu, les technologies de l’information. A travers ses nombreuses publications et recommendations son rôle est d’aider les décideurs dans l’établissement des politiques publiques.

Concernant la sécurité de l’information, l’organisme a identifié depuis plus de 20 ans le lien entre SSI et prospérité économique et sociale. Il publiait ainsi dès 1992 une série de lignes directrices : neuf principes devant permettre à des décideurs non-techniques de prendre en compte la sécurité dans leurs politiques publiques à travers une gestion cohérente des risques. Ce document a ensuite été mis à jour en 2002 afin de tenir compte de l’ouverture des systèmes vers Internet (les réflexions de l’OCDE ont notamment contribué à la création de CERTs nationaux), mais il n’a plus évolué depuis.

Onze ans plus tard il est temps de réviser ces lignes directrices afin de prendre cette fois-ci en compte l’importance stratégique acquise par la SSI. « Nous souhaitons mettre à jour cette recommendation de l’OCDE en mettant l’accent sur les enjeux de la sécurité de l’information, devenus plus importants pour l’économie et abordés à plus haut niveau dans les politiques publiques et par les entreprises. Et surtout traités désormais par une population beaucoup plus stratégique… » , explique Laurent Bernat, analyste à l’OCDE.

Malgré cette révision, l’objectif de fond demeure inchangé : faire le lien entre les décideurs et les professionnels de la SSI. Ces lignes directrices devront ainsi à la fois parler aux décideurs publics ou privés  – souvent non-techniciens – et leur permettre de mieux appréhender les risques en des termes génériques. Mais elles devront être aussi suffisamment claires et précises pour être utiles aux techniciens afin d’implémenter efficacement les politiques. L’OCDE souhaite ainsi jouer le rôle du pivot entre décideurs et techniciens en les faisant se rencontrer autour d’une même vision des intérêts économiques et sociaux en jeu. Dans l’idéal, un tel document se situe donc entre les décideurs et la norme ISO 27001…

« Nous comptons également renforcer fortement la dimension métier, qui n’existait pas précédemment. Car nous sommes passés de la sécurité vue comme un domaine purement technique à une question avant tout métier. La technique a un rôle à jouer, mais ce qui prime, c’est le soutien de l’activité économique tant pour les entreprises que pour l’administration et, finalement, le pays tout entier. Et c’est que nous voulons refléter dans cette révision » , poursuit Laurent Bernat.

Pour mener à terme un tel chantier l’OCDE fait appel à toutes les bonnes volontés : « Nous avons créé un groupe d’experts et nous lançons une consultation auprès de l’ensemble des parties prenantes : les entreprises et les gouvernements, bien entendu, mais aussi la communauté SSI au sens large » , explique Laurent Bernat. L’organisme a en particulier besoin de l’avis de professionnels de la SSI qui ne travaillent *pas* pour des fournisseurs de solutions ou des entreprises IT, mais qui peuvent lui fournir une vision des enjeux de la SSI dans des contextes métiers variés.

Si vous souhaitez participer aux travaux de l’OCDE pour la rédaction de ce document essentiel, n’hésitez pas à prendre contact avec l’organisme (plus d’information et contact ici).

Plus d’information : 

> La version 2002 des lignes directrices sur la sécurité de l’OCDE
> Le flyer d’information pour la révision 2013