Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« La Sécurité numérique de l’entreprise » par Pierre-Luc REFALO (Novembre 2012) est paru aux Editions Eyrolles

novembre 2012 par Marc Jacob

« La sécurité numérique n’est pas un autre nom de la sécurité informatique. Elle s’adresse aux usages, non aux systèmes et s’inscrit très étroitement dans le champ de la sécurité globale. »

En 10 ans, le numérique a bouleversé la société et le monde de l’entreprise. Et depuis 20 ans, les questions de Sécurité des SI ont été abordées de manière très technique et méthodologique, souvent éloignée des stratégies et des activités « métiers ». Nous sommes à la fin d’un cycle et le secteur doit évoluer de manière forte. Dans un univers global, incertain et hyper-complexe, la Sécurité des SI doit sans doute, sans que ce soit paradoxal, effectuer un saut créatif tout en revenant sur ses fondamentaux. A défaut, elle pourrait « éclater » et s’intégrer d’un côté à la sécurité/sûreté dans une approche « cyber-défense » (infrastructures critiques) et « protection du patrimoine » (informations stratégiques), d’un autre, à la gestion des risques liés aux usages et à la dématérialisation (identités numériques, données à caractère personnel et vie privée, signature et preuve électroniques). Dans les deux cas, les questions de « conformité » prennent encore plus de poids. Mais être conforme, n’a jamais signifié être sûr ou sécurisé ! Il faudra faire des choix … Par exemple, les tentatives d’évolution de la Sécurité SI vers l’Intelligence Economique (veille, protection et influence), la sûreté de l’information et la protection du patrimoine (matériel et immatériel) restent inabouties et sont parfois dangereuses. Des affaires récentes sont à ce titre symptomatiques. Et dans le numérique, l’usage et le partage supplantent largement la propriété. Que faut-il donc vraiment protéger à l’ère du numérique, en particulier, en termes de secret et confidentialité ? Ainsi, l’émergence du Correspondant Informatique et Libertés crée autant de frictions que de synergies entre la protection de la vie privée (conformité à la loi) et le business d’une entreprise devenue « numérique » (développement économique). Pour faire simple, les véritables enjeux de la sécurité numérique se concentrent autour de 4 mots clés : identité, accessibilité,

confidentialité et traçabilité (avec de manière sous-jacente les questions de secret et de preuve et pour certains, les enjeux de la cyber-défense). Ce domaine a son existence propre et continuera à se développer en apportant des services transverses, globaux et de plus en plus essentiels pour les entreprises et les administrations.

Le secteur doit alors vivre ses « aptations » (transaptation ou exaptation, selon les cas, décrites par Pascal PICQ dans « Un paléoanthropologue dans l’entreprise » Eyrolles-2012) que certains ont déjà initiées : Il faudra donc évoluer en termes structurels (périmètres d’action et champs des responsabilités) et fonctionnels (acteurs et rôles), tout en tenant compte de l’histoire et de la culture de l’entreprise. Sinon, l’échec est assuré. Globalement, une fonction « gestion des risques numériques » doit être clairement définie, de manière transverse, proche des métiers, et le cas échéant, hors des DSI. La responsabilité de la sécurité numérique (opérationnelle) doit alors être concrètement portée par les fonctions informatiques et les fournisseurs de services. La fonction transverse ne serait alors plus « responsable ». Elle apporte plutôt une expertise interne (et/ou externe) auprès des Directions RH, Finance, Juridique, Audit voire Risques et Sûreté, en étant plus proche des décideurs et des métiers. Les aspects stratégiques (menaces, technologies, relations gouvernementales), sociologiques (comportements, usages), réglementaires / normatifs (globaux, sectoriels), juridiques (contrats, engagements de services) et économiques (politique d’achat, assurance) sont suffisamment importants pour être abordés de manière coordonnée et plus transverse. Car à l’heure du cloud computing, de la mobilité, des médias sociaux et du big data, la sécurité numérique sera aussi de plus en plus intégrée dans des services globaux et souvent externalisée. Au marché de répondre aux enjeux avec des engagements de moyens mais aussi parfois de résultat (protection des données à caractère personnel, infrastructures critiques, valeur probante de documents et de trace, etc.). Cette évolution sera très pragmatique et certainement sectorielle.

Gestion des risques numériques à l’heure du Cloud computing et de la mobilité Il deviendra alors essentiel de fixer des limites aux pouvoirs (ex : du marché), à la réglementation (ex : pléthore et incohérence des textes) et à l’intégration (ex : des mécanismes et services de sécurité). Cette notion de « limites » s’est imposée au fil de la rédaction de l’ouvrage et elle synthétise l’approche « recentrée » qui est proposée. Tout d’abord, alors que l’on dénombre en France, plus de 20 associations, commissions et groupes de travail (autant utiles que légitimes) traitant plus ou moins de sécurité numérique, le secteur gagnerait à être mieux structuré autour d’instances plus représentatives des professionnels des entreprises. Ils doivent être plus visibles et connus des pouvoirs publics et avoir plus de poids sur le marché. D’autre part, les « politiques sécurité » n’apportent plus grand chose, si ce n’est des référentiels d’auto-évaluation voire d’audit / conformité. Font-elles vraiment progresser la sécurité réelle à l’heure des normes ISO/IEC 2700x ? L’acculturation du management et des métiers (sur les usages et les risques) doit précéder la réglementation, au moins l’accompagner et non plus lui succéder. Tous les contenus, la pédagogie et les outils sont disponibles mais restent trop peu exploités. Enfin, sur l’intégration, on se situe plus sur le moyen / long terme. Comme pour la sécurité routière, on n’achètera plus les outils et services de sécurité qui seront intégrés dans des technologies de base, des offres d’opérateurs, d’hébergeurs et de plates-formes de service. Mais cela aura une limite qui remettra plus que jamais la sécurité réelle dans les mains de l’utilisateur. Le processus d’acculturation doit alors porter des messages forts de dissuasion (contrôles renforcés et indépendants) comme de motivation (indicateurs clairs et pertinents).


L’auteur : Créateur et dirigeant d’entreprise, Pierre-Luc REFALO possède plus de 20 ans d’expérience en Sécurité numérique et protection des informations. Homme de conseil, il fut aussi directeur du programme « Sécurité de l’information » de Cegetel / SFR (1997-2002) et représentant au G8 et à la Commission Européenne sur le cyber-crime, la vie privée et la signature électronique. Il accompagne depuis 10 ans ses clients dans l’évolution de la gouvernance des risques numériques et l’acculturation des acteurs. Il est membre du Comité de Pilotage des Assises de la Sécurité et des SI et auteur des Livres bleus publiés à cette occasion depuis 2004. Contact : plrefalo1063@gmail.com.




Voir les articles précédents

    

Voir les articles suivants