Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le ROI de la sécurité : vers le pragmatisme

avril 2008 par Marc Jacob

Le Cercle Européen de la Sécurité a choisi Lyon pour son premier débat régional. Prés d’une centaine de RSSI, Consutlants, Intégrateurs et Editeurs étaient présents pour traiter du thème du retour d’investissement de la sécurité (ROSI). Une table ronde animée par Thierry Evanlegista de Vulnérabilité.com a permis à Yannick Bouchet, Président du CLUSIR Rhône-Alpes, Hervé Schauer, fondateur du Cabinet HSC et Bernard Foray, RSSI du groupe Casino de donner des méthodes de calcul d’un ROSI.

Le thème du ROSI de la sécurité qui était un des thèmes privilégiés de débat il y a encore deux ans, est passé de mode depuis ce temps. Il est vrai que la croissance du nombre de malwares et le renforcement de la législation dans le domaine de la SSI, rendant quasi obligatoire le déploiement d’outils de sécurité, ont un peu occulté le problème du ROI. Le Cercle Européen de la Sécurité a donc à l’occasion de son premier débat régional souhaité remettre se thème à l’ordre du jour. En effet, pour un RSSI faire passer des projets de sécurité est un exercice toujours difficile, car les investissements dans sont domaine sont toujours « trop chers » car apparemment non productif.

Le ROSI par l’efficacité opérationnelle

Yannick Bouchet a démontré que l’on pouvait calculer un ROI de la sécurité en déterminant l’impact d’un arrêt ou d’une erreur de l’automatisation. Il a en préambule dressé un rapide panorama comparatif des mentalités quant à l’adoption de nouvelles technologies. Ainsi, il a regretté qu’en France on privilégié le « pourquoi » alors que les pays anglo-saxons favorisent le « comment ». Ainsi, les français vont étudier les besoin puis rechercher les concepts pour y répondre. Dans les pays anglo-saxons ont utilisera les outils pour en tirer le meilleur partie. De plus en France, il y a un refoulement des dangers : « tout le monde le sait le nuage de Tchernobyl est passé directement de l’Allemagne au Royaume-Uni ». Ainsi, en France les solutions nouvelles auront du mal à percer. Pour lui la sécurité informatique doit se situer sur l’axe de l’efficacité opérationnelle afin de faire passer ces projets.

Le ROSI par la norme ISO 27001

Hervé Schauer s’est appuyé sur la certification ISO 27001 pour démontrer l’existence d’un retour sur investissement de la sécurité. Pour lui, la certification ISO 27001 est rentable car source d’économie. En effet, se certifier permettrait tout d’abord d’améliorer la gestion du temps du fait de son universalité, de la complétude des méthodologies, de la facilité de construire un processus d’amélioration continue. Elle permet aussi une meilleure appréciation des risques en synthétisant les expériences. Elle prend en compte les coûts en s’intéressant au calcul du ratio coût par rapport à la réduction des risques. Ainsi, il est possible de rationnaliser les outils de sécurité utilisés dans l’entreprise. Sa mise en place permet aussi de mutualiser les audits en en réduisant le nombre. Elle a aussi un impact non négligeable sur l’application de la législation en vigueur d’autant plus qu’en France elle est homologuée et donc permet de bénéficier d’une présomption que les procédures ont été bien appliquées Enfin, elle peut être source de réduction des primes d’assurance.

La preuve par l’exemple

Enfin, Bernard Foray a montré qu’en ce domaine que quelques schémas bien choisis au bon moment valaient bien mieux que de bons discours. Il a aussi préconisé de faire des démonstrations à sa hiérarchie par l’exemple, en se servant d’incidents internes ou externes. Il a aussi expliqué que dans certains cas, pour faire passer certains projets importants, comme par exemple le déploiement d’un anti-spam, il avait ouvert de façon contrôlé les filtres, et calculer ainsi aisément la non productivité engendré par ce fléau. Pour les utilisateurs, il a recommandé de leur mettre à disposition sur l’intranet « un livre de rapport d’incident », pour qu’ils puissent recenser tous les incidents qu’ils rencontrent. Il a conclu son intervention en conseillant de toujours mettre la direction face à leurs responsabilités en leurs montrant tous les risques auxquels elle pouvait être confrontée.


Voir les articles précédents

    

Voir les articles suivants