PICSI

Avant de s'intéresser à la sécurité d'un système, il est important de faire une étude qualitative et quantitative des risques afin que la solution sécuritaire proposée soit le plus adéquate possible. Pour illustrer ce propos prenons un exemple. On considère que l'on veuille se prémunir contre le vol d'une moto de valeur machande 7000 euros. Pour ce faire, il y a deux extrêmes absurdes à éviter :

• engager 2 personnes à plein temps pour se charger de sa surveillance ( le coût est approximativement de 3000 euros par mois).
• n'acheter qu'un cadenas de vélo ( coût fixe de 30 euros). 

Dans le premier cas, on est à peu près certain que notre deux-roues restera en notre possession  mais cette méthode présente un gros défaut: elle est très coûteuse . Dans le deuxième cas, la moto est à la merci de n'importe quel voleur amateur voire même d'un individu lambda muni d'une scie à métaux: cette méthode est inefficace.

Cet exemple illustre un paramètre très important en sécurité générale: la dissuasion. Tout bon responsable sécurité doit admettre que la sécurité absolue n'existe pas et il faut s'assurer que le dispositif sécuritaire mis en place présente un coût supérieur à contourner que les intérêts qu'il protège.  Pour mettre en place un bon dispositif de sécurité, il faut faire une bonne évaluation des risques en essayant notamment d'évaluer la convoitise de ce que l'on veut sécuriser. La convoitise est une donnée distincte du coût d'un objet.  Par exemple une fusée spatiale est beaucoup moins convoitée qu'une auto malgré son coût bien plus élevé. Cette considération permet d'estimer le risque sécuritaire.  Et pour faire une bonne évaluation des risques il faut s'intéresser au profil des attaquants, à leurs objectifs ainsi qu'aux moyens à leur disposition pour les réaliser.