Vers un véritable avantage concurrentiel

La situation tient du paradoxe: d’un côté, une perception croissante de l’importance des risques de sécurité de la part des dirigeants; de l’autre, une forte pression sur les dépenses en matière de sécurité (1). Au sein des entreprises, les fonctions ou responsables en relation avec la sécurité informatique sont de plus en plus nombreux, mais les incidents et la perception d’insécurité sont croissants.

Deux explications, probablement non-exhaustives, semblent pertinentes pour comprendre ce paradoxe. Tout d’abord, les risques auxquels les entreprises font face n’ont jamais été aussi significatifs, aussi complexes, sans oublier la prolifération des menaces. Dans un tel contexte, les départements de sécurité luttent pour «tenir le rythme». Par ailleurs, ces départements sont bien souvent composés d’experts de certains domaines qui se focalisent sur des thématiques particulières, laissant ainsi des «trous» potentiels.

Au sein du secteur financier, la sécurité de l’information occupe une place de premier rang, de plus en plus indépendante par rapport à l’IT. Les institutions financières reconnaissent ainsi que la sécurité est une notion beaucoup plus large et plus complexe que la technologie et les outils. Le lien avec le métier et les objectifs de l’entreprise est donc reconnu comme fondamental. Des responsables de la sécurité de l’information apparaissent dans les organigrammes, mais parfois au bas de la hiérarchie.

La nécessité est confirmée, mais les moyens sont souvent alloués dans un second temps. C’est ainsi que seule une poignée de banques ont mis en place une fonction de Chief Security Officer (CSO) à laquelle des ressources sont ainsi lentement octroyées. Afin de remplir son objectif de développement d’une véritable gouvernance de sécurité, le CSO peut commencer par «revisiter» les nombreuses politiques et manuels de sécurité, héritage du célèbre «copier-coller», afin d’en dégager ce qui correspondra au modèle de gouvernance souhaité.

Dans ce cadre, une approche «top-down» est nécessaire et les inévitables standards et référentiels de sécurité s’imposent. Si, au Luxembourg, seules 3 entreprises sont actuellement en possession de (ou sont sur le point d’acquérir) la certification ISO 27001, nombreuses sont celles qui utilisent cette norme comme référence. Un certain pragmatisme est cependant nécessaire pour éviter l’effet «écran de fumée». Il s’agit concrètement de prendre en compte le contexte réel de l’entreprise et de se focaliser sur les véritables risques encourus. Au-delà du standard ISO, une démarche structurée de gestion du risque de sécurité informatique permettra à l’entreprise d’évoluer vers une plus grande maturité.

Le processus pour augmenter la maturité de la gestion du risque de sécurité au sein d’une entreprise est souvent long, lent et ardu. Cependant, disposer d’une stratégie claire et des objectifs définis devrait permettre aux processus et procédures d’évoluer vers une stratégie holistique de protection du business. Pour faire passer la sécurité de la simple gestion du risque vers un véritable avantage concurrentiel, il est nécessaire de se donner les moyens et de s’entourer des bons collaborateurs: non seulement des gestionnaires de risque, mais aussi et surtout des visionnaires, des décideurs qui auront la capacité de proposer une démarche de fond, au-delà des aspects technologiques de la sécurité.

Bien sûr, la technologie et les processus restent des composantes importantes des dispositifs de sécurité. Cependant, les institutions ont tendance à considérer le facteur humain (à la fois interne pour ce qui est des employés ou dirigeants, mais également externe pour ce qui est des clients par exemple) comme un élément secondaire. Pour certains acteurs, la diffusion d’«e-learning», d’affiches, ou bien encore de «screen saver» sont des outils suffisants pour estimer que la sensibilisation est opérée. Ceci paraît peu pour ce qui doit être placé au centre du dispositif: le facteur humain. Un facteur qui est certainement le plus complexe et le plus évolutif. C’est pourquoi il est primordial, dans le cadre d’une gestion mature de la sécurité, de mettre en place une démarche significative visant à comprendre et à prendre en compte les comportements, évolutifs selon le «cycle de vie» de l’employé ou du client. Replaçant ainsi le facteur humain en «première ligne de défense».