Un groupe de travail d'industriels (NCSP) a rendu lundi les conclusions d'un
rapport portant sur la cyber-sécurité aux Etats-Unis. Distinguant
nettement les responsables informatiques des plus hauts dirigeants d'entreprise,
le rapport prêche pour une plus forte implication de ces derniers dans la
politique de sécurité des sociétés et pour une intégration
accrue de cette politique dans les choix stratégiques globaux.
"L'Amérique ne peut relever ses défis en termes de cyber-sécurité
en se déchargeant sur les représentants de l'Etat ou sur les DSI.
Le meilleur moyen de renforcer la sécurité de l'information aux
Etats-Unis est de la traiter comme un élément stratégique
qui requiert l'attention des comités de direction et des P-DG", ont
déclaré les membres de la task force en préambule
de leur rapport.
"Dans une ère de croissance des cyber-attaques et des failles de sécurité,
il est essentiel que les sociétés du secteur privé donnent
à la sécurité des systèmes d'information toute l'attention
qu'elle nécessite", a ajouté un membre du ministère
de la sécurité intérieure (US Homeland Security Department),
qui collabore étroitement avec ce groupe de travail composé de sociétés
telles qu'Intel, Motorola, Sun Microsystems, Verisign ou RSA Security, mais aussi
d'associations comme la BSA (Business Software Alliance) ou l'ITAA (Information
Technology Association of America).
Les
PME dans le viseur de la task force |
Les grandes lignes du rapport portent sur les points principaux suivants. Le
premier enjoint les entreprises de créer une politique de sécurité
qui respecte des fondamentaux déjà existants, comme par exemple
la norme ISO 17799. Le deuxième recommande aux sociétés d'indiquer
clairement sur leur site Internet leur intention d'utiliser les outils fournis
par le groupe de travail et de déclarer leur volonté d'améliorer
la cyber-sécurité....
Le troisième point porte quant à lui sur le rôle des technologies
de l'information dans le processus de reporting financier, un rôle qui doit
être selon la task force renforcé. Enfin, les entreprises
sont invitées à conduire périodiquement des audits de risques,
à mesurer les performances des systèmes en place et à attribuer
des tâches précises au sein de la structure en charge de la sécurité.
"Beaucoup d'entreprises responsables sont déjà en adéquation
avec le niveau de sécurité requis. Mais il est important d'encourager
les petites et moyennes entreprises et les organisations à but non lucratif
à adopter de meilleures mesures de sécurité", a conclu
Arthur Coviello, co-président de la task force et P-DG de RSA Security.
|