Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité : back to basics !

Sécurité : back to basics !
2010-02-232013-02-11sécurité organisationnelle et humainefr
Les évolutions dans le domaine de l'IT et des télécom et la maturité évidente du marché de la sécurité, le métier de la sécurité évolue ou va évoluer et les pratiques d'hier vont lentement disparaître pour donner naissance à de nouveaux...
Publié le 23 Février 2010 par Hervé Troalic dans sécurité organisationnelle et humaine
Ne vivons-nous pas une époque formidable?
Avec d'une part, les évolutions  dans le domaine de l'IT et des télécom et d'autre part la maturité évidente du marché de la sécurité, nous pourrions penser que le métier de la sécurité évolue ou va évoluer aussi et que les pratiques d'hier vont lentement disparaître pour donner naissance à de nouveaux paradigmes.

Et bien si nous pensons cela alors peut-être nous trompons-nous. Examinons la situation telle qu'elle est.
L'environnement du SI tout d'abord, l'ouverture des réseaux est avérée. Le réseau de l'entreprise est moins borné qu'hier et ses frontières difficiles à protéger. La "device mania" bat son plein, à juste titre et pour de vrais apports pour l'entreprise et l'utilisateur final. Là aussi, les technologies sont clairement à maturité et "monsieur" tout le monde peut enfin entrevoir les apports des technologies mobiles.
Le cloud computing enfin, nous est présenté comme l'avenir de l'informatique et comme cette troisième voie que les professionnels attendaient ?
Côté organisation maintenant, le corollaire à la "device mania" est que les utilisateurs ont pris du poids dans l'entreprise et l'arrivée de la génération Y nous fait réaliser à quel point les équipes  internes doivent faire preuve d'encore plus de professionnalisme et offrir aux utilisateurs des alternatives crédibles "made in" entreprise. L'autre point marquant, très proche du précédent, est le recouvrement entre la sphère perso et la sphère pro. Avec les
nouveaux usages (réseaux sociaux, ...) l'entreprise doit rapidement intégrer cette composante dans la gestion de ses RH et de son image.
La "business agility" est aussi une chose acquise qui implique des changements dans les manière dont les DSI (et à fortiori les RSSI) doivent appréhender telle ou telle implémentation technologique ou organisationnelle.
Enfin, l'aspect réglementaire et normatif loin de s'estomper, s'affirme de plus en plus comme un moteur à l'investissement et pas seulement une contrainte. J'en veux pour preuve l'évolution du discours vis-à-vis de PCI-DSS, la prise en compte des recommandations de la CNIL, l'archivage légal ou les multitudes d'audits "métiers" que les entreprises Françaises "subissent" chaque année.

Certaines évolutions sont majeures, d'autres s'accentuent. Qu'en est-il alors de la fonction sécurité, du métier de la sécurité des systèmes d'information ?
Paradoxalement, il n'a jamais été aussi en phase avec les fondamentaux. Tout d'abord, dans le contexte décrit précédemment, il n'est point nécessaire de réaliser une lourde et couteuse analyse des risques pour affirmer que les préoccupations des entreprises se focalisent sur 3 points (l'ordre dépend des priorités de chaque entreprise) :

  1. l'image de marque,
  2. la sécurité et la confidentialité des données,
  3. la disponibilité des processus métier de l'entreprise.
C PADLOCK.gif
Le premier point est particulièrement intéressant car il est sans doute celui que les professionnels ont considéré comme le plus "bateau" par le passé. Or, aujourd'hui avec les nouveaux usages, il prend tout son sens. Difficile de maîtriser son image lorsqu'on ne peut pas maitriser la communication qui en est faite. La question me semble ouverte.
La sécurité des données reste au centre des débats avec l'émergence du cloud computing et des préoccupations qu'il génère autour de la confidentialité des données. Là encore la question est ouverte.
Enfin, la disponibilité des processus métiers. Cette question va bien au-delà de la simple notion de disponibilité chère aux professionnels. Elle pose la question de la compétence métiers des responsables IT et notamment sécurité. Là encore, il s'agit d'une mutation déjà en cours pour le RSSI mais inévitable et nécessaire à terme.

Finalement, c'est plutôt une bonne nouvelle. En tant qu'experts nous constatons tous les jours que la question de la sécurité dépasse largement la sphère des experts pour s'inviter dans tous les débats.

3 Commentaires

  • 26 Février 2010
    2010-02-26
    par
    Philippe Guarnieri
    Le nature du métier de RSSI est très différente selon les entreprises, selon leur culture, leur typologie; pour certaines il s'agit avant tout d'un technicien, pour d'autres plus un profil de manager dont la pratique se rapproche du responsable qualité.

    Mais il ne s'agit pas d'opposer RSSI et Risk Manager (quand ce métier existe dans l'entreprise), il s'agit de donner un sens business à la politique de sécurité et le RSSI en est le premier bénéficiaire puisque à partir d'un certain montant, sans démonstration de la nécessite pour le métier de couvrir le risque IT, les budgets restent bloqués.

    La dépense informatique ne va pas de soi pour un patron non informaticien ..

    Les différentes études du CLUSIF ont d'ailleurs montré que ce qui manque en premier lieu dans les décisions de dépense en matière de sécurité informatique, ce sont les justifications métier, plus que la non-disponibilité budgétaire dans l'absolu.

    Et c'est là qu'une méthode comme RISK IT a tout son intérêt, faire le lien entre les risques généraux de l'entreprise (traité par le COSO/ERM) et les services informatiques.

    Alors que ce soit le Risk Manager, le RSSI (quel type de RSSI ?) ou une autre entité qui conduise l'étude, est-ce que cela importe ?

    De toute façon la méthode organise la collaboration de tous pour parvenir à un résultat commun : Une justification pérenne et objective de la couverture du risque IT.
  • 24 Février 2010
    2010-02-26
    par
    Didier BOURGUIGNON DiGiQUAL
    Il est tout à fait intéressant de voir que les points qui sont mis en avant depuis de nombreuses années par les gens de la sécurité ont fait leur chemin.

    J'émettrais un avis différent de l'article en ce qui concerne la dimension fonctionnelle des équipes IT. Cette compétence est primordiale pour pouvoir dialoguer avec les Métiers, c'est un fait. Mais les équipes IT n'ont pas à se substituer aux fonctionnels dans l'évaluation des critères cités.

    1/ l'image de marque : seuls les fonctionnels ont les compétences pour évaluer les dégâts d'un incident sécurité sur celle-ci.
    2/ la sécurité et la confidentialité des données : qui mieux qui les métiers connaissent la valeur des informations stockées et celles qui sont stratégiques pour l'entreprise. Bien que ce soit nécessite d'être améliorer dans pas mal d'entreprises.
    3/ la disponibilité des processus métier de l'entreprise : même les métiers ont du mal à se mettre d'accord lorsqu'il faut les nommer (tout process owner estime, en toute sincérité, que son processus est vital pour l'entreprise), alors les équipes IT ...

    Ne vous méprenez pas sur mes propos, les équipes IT et sécurité sont primordiales pour supporter les équipes fonctionnelles. Le RSSI est là pour leur faire prendre conscience des risques potentiels qu'ils font courir à l'entreprise. Toutefois, il n'a pas (et n'aura jamais) les compétences (chacun son métier) pour quantifier ou qualifier les impacts métiers, juridique ou autre.

    Même si une mutation du poste de RSSI est impératif pour qu'il se rapproche de la vision métier, certaines tâches resteront hors de son périmètre, déjà bien assez large comme ça.

    En espérant ne froisser personne.

    Cordialement.
  • 23 Février 2010
    2010-02-26
    par
    Philippe Guarnieri
    Bonjour,

    La maturité se matérialise aussi par la capacité de la politique de sécurité à traiter des vraies menaces pour le business.

    J vous invite à prendre connaissance de la récente publication de l'ISACA sur les RISK IT :

    http://www.itrmanager.com/articles/98346/apres-cobit-val-it-isaca-intere...

    http://www.isaca.org/Template.cfm?Section=Risk_IT&Template=/TaggedPage/T...

    Il permet de combler le vide existant entre l'analyse globale des risques de l'entreprise et les risques particuliers liés aux NTIC.
    mardi 23 février 2010

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage