 |
|
|
| |
|
|
| Sommaire DSI |
|
| Mythes et bonnes pratiques pour des systèmes d'information ouverts |
| Pour que la sécurité ne soit pas uniquement un centre de coût, encore faut-il qu'elle tienne compte des spécificités métiers de l'entreprise. Une condition qui doit permettre de bénéficier du support de la direction.
(16/11/2006) |
|
Avec l'interconnexion croissante des systèmes d'information, la frontière de l'entreprise n'a de cesse de s'estomper. Toutefois, l'ouverture du SI induite par l'évolution de l'écosystème ne peut se faire sans une prise en compte de la sécurité, rappelle Bull dans son livre blanc intitulé " La sécurité des systèmes d'information, socle essentiel d'un monde ouvert".
Vandalisme, sabotage, cybercriminalité, espionnage sont des menaces que les entreprises doivent affronter. Le risque n'est en effet pas virtuel, clame Bull en s'appuyant sur un chiffre de Mi2G évaluant les atteintes à la sécurité dans le monde à 100 milliards de dollars.
Une estimation qui n'est peut-être toutefois que la partie émergée de l'iceberg. Le coût pour l'entreprise reste complexe à évaluer, et seulement 40% d'entre elles auraient une vision claire sur leurs vulnérabilités et sur les incidents de sécurité subis. Un total auquel il faut encore défalquer les entreprises faisant le choix du secret, par crainte du préjudice d'une mauvaise publicité.
La mise en place d'une politique efficace d'analyse des risques et de gestion de la sécurité apparaît donc comme un chantier incontournable. Des travaux dont la conduite échoie notamment au RSSI. Celui-ci aura fort à faire pour occulter le mythe réduisant exclusivement la sécurité à un coût.
Le livre blanc liste pour le responsable sécurité 4 axes technologiques : garantir la continuité de service, protéger contre les attaques, habiliter les utilisateurs (offrir le bon accès à la bonne personne, au juste moment) et certifier les transactions.
RSSI ou DSI, selon leurs prérogatives, devront toutefois se garder de trois écueils récurrents relevés par les auteurs.
| Aligner la sécurité et les impératifs de continuité d'activité |
L'approche réactive, si elle permet de maîtriser les dépenses, est une stratégie qui atteint rapidement ses limites. Opter pour une solution antivirus plus efficace consécutivement à un incident peut par exemple coûter cher. Le passage à une vision proactive suppose cependant d'analyser et d'anticiper les risques de manière régulière.
Seconde dérive constatée, le non-alignement de la sécurité et des impératifs de continuité d'activité. Une politique de sécurité doit tenir compte des spécificités de chaque métier de l'entreprise. L'approche technologique prend en effet encore trop souvent le pas sur une analyse métier.
Enfin, dernier chausse-trappe cité : négliger le facteur organisationnel et humain. L'utilisateur est un maillon de la chaîne et la sécurité de l'information est un processus, et non pas uniquement une compilation de briques technologiques.
Et si certains métiers de l'entreprise sont plus exposés, il en va de même de certaines fonctions. Directeurs généraux et financiers ont ainsi accès à des données sensibles. Leur formation ne peut donc pas être négligée.
Les pièges esquivés, reste encore à appliquer certaines bonnes pratiques. Le livre blanc en énumère sept, que sont notamment la prise en compte de l'écosystème partenaire et des risques métiers spécifiques à l'entreprise. Cette dernière devra également étendre la sécurité aux applications, en sensibilisant notamment ses équipes de développement. Formation et sensibilisation ne devront d'ailleurs oublier personne.
Enfin, la sécurité devra reposer sur des outils de gestion et des tableaux de bord composés à la fois d'indicateurs techniques et non-techniques. La diversité de ces données permettra d'impliquer et les directions métiers et la direction générale dans la politique de sécurité. Implication qui favorisera son support et une meilleure adéquation des moyens aux risques à couvrir.
|
| |
| |
|
|
|
|
|
|
Dossiers
