L’approche périmétrique de la sécurité a vécu. Elle se trouve aujourd’hui confrontée à de nouveaux challenges

Sur-estimation ou sous-estimation des risques? Selon Malcom Harkins, CISO d’Intel, la mauvaise hiérarchisation des risques rendrait nos organisations particulièrement vulnérables. Soit on les exagère, soit on les minimise. Deux facteurs conduisent à cette mauvaise appréciation: les données économiques et les éléments psychologiques, a t-il déclaré lors du récent Forrester Security 2010.

«En tant que professionnel de la sécurité, je commence à croire que nous sommes des architectes du choix. Nous essayons d'amener les gens à penser d'une certaine manière et à prendre des décisions, a-t-il ajouté. Sur le plan psychologique, il semblerait aussi que plus le bénéfice attendu est important, plus la tolérance au risque augmente. Parmi les exemples, l'adoption de technologies comme le Cloud computing, la virtualisation et les médias sociaux. Toutes apportent de gros avantages aux entreprises... si bien que les risques qu'elles représentent pour la sécurité deviennent acceptables!»

La réflexion est intéressante. Par-delà les questions d’investissements, on a compris que l’approche périmétrique de la sécurité a vécu. Elle se trouve aujourd’hui confrontée à de nouveaux challenges: agir sur tous les plans de l’architecture de l’entreprise -métier, information, applications et technique; renforcer la gestion des risques; anticiper les évolutions technologiques et métiers. Que les leviers d’actions soient d’ordre organisationnel, technologique ou humain, ils gagneront en efficacité et en pérennité en s’appuyant sur un cadre d’architecture de sécurité d’entreprise.

Jusqu’à présent la prise en compte de la sécurité portait davantage sur la sûreté du système d’information que sur la protection de l’information elle-même.
La complexité et l’ouverture des systèmes d’information amènent, aujourd’hui, la direction des organisations à se poser des questions beaucoup plus globales. Les initiatives relatives à la sécurité sont-elles alignées avec nos besoins métiers? Le niveau de sécurité de nos partenaires est-il en adéquation et en conformité avec le nôtre? Nos pratiques en matière de sécurité assurent-elles notre conformité aux lois et réglementations sectorielles? Sommes-nous perçus comme une organisation capable de comprendre les besoins de sécurité exprimés par nos clients, fournisseurs ou partenaires?

On le voit, la sécurité de l’information fait partie intégrante de la maîtrise des risques et de l’amélioration de la performance. L’ISO 31000, qui propose une évolution de la définition du risque, va précisément dans ce sens: tenir compte de l’incertitude sur l’atteinte des objectifs. Aussi, s’équiper de solutions de sécurité ne suffit plus, il faut développer une véritable démarche globale en matière de sécurité. Celle-ci s’appuiera sur un processus de management fondé sur la gestion des risques, le pilotage de la performance et la mise en oeuvre des bonnes pratiques.

Le chemin sera long. Selon l’enquête de Deloitte «2010 TMT Global Security Study», 10% des entreprises TMT ont augmenté leur budget lié à la sécurité de l'information de plus de 10% au cours des 12 derniers mois, tandis que plus d'un tiers l’a augmenté entre 5 et 10%. Toute la question est de savoir si ces augmentations permettront de compenser le retard accumulé au cours de la période de ralentissement économique. D’autant que, lucides, 46% des entreprises ayant participé à cette étude considèrent que les budgets restent insuffisants au regard des enjeux majeurs de la sécurisation de l’information dans ce secteur...

> Mettre en perspective la valeur et les risques dans l'entreprise
> Effectuer plus de simulations
> Rester constamment en mode «debrief» grâce à la mise en place de mécanismes de retour sur expérience
> Nommer un médiateur responsable du risque informatique
> Repenser la robustesse, qui prend en compte l’ensemble des facteurs de risque
> Pondérer l’importance des données et des risques potentiels,
> Penser «global» pour traiter les plateformes technologiques dans leur ensemble, et non application par application

(source: Accenture)