Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La sécurité reste un handicap à l’innovation pour 80% des entreprises dans le monde, selon RSA, la Division Sécurité d’EMC

octobre 2008 par RSA, La Division Sécurité d’EMC

RSA, la Division Sécurité d’EMC, dévoile les résultats de deux nouvelles études explorant la nature tumultueuse et complexe des relations entre la sécurité de l’information et la capacité d’innovation. La première, conduite par le cabinet IDC, révèle une fracture croissante entre sécurité et innovation, et examine l’impact métier de cette dissociation sur des entreprises leaders dans le monde. La seconde s’appuie sur un groupe d’élites de la sécurité au sein d’entreprises leaders (Comité « Security for Business Innovation Council ») pour définir de nouvelles stratégies, de gestion des risques informationnels visant à réduire cette fracture.

« Les liens inextricables entre la sécurité et l’innovation semblent évidents, mais les entreprises ont toujours du mal à trouver un juste équilibre entre la mise sur le marché d’offres toujours plus innovantes et l’établissement de modalités efficaces de sécurisation des technologies de l’information », constate Art Coviello, Président de RSA. « La sécurité joue un rôle de plus en plus important et cette étude démontre que c’est aujourd’hui une priorité absolue pour tous les décideurs seniors. La période est donc particulièrement favorable pour adopter des changements culturels, philosophiques et technologiques salutaires pour enfin aligner les stratégies de sécurité et d’innovation. »

L’étude menée par IDC révèle que les risques de sécurité constituent un frein majeur à l’innovation

Cette enquête commanditée par RSA a été conduite par IDC sur un panel d’environ 200 décideurs seniors et professionnels de la sécurité. Intitulée « Innovation et Sécurité – Collaboration ou lutte fratricide »*, elle révèle que la majorité des entreprises considère que la création d’un environnement propice à l’innovation est une condition essentielle pour rester compétitif. Cependant, les personnes interrogées déplorent qu’en dépit de toutes leurs bonnes intentions, les risques de sécurité informatique limitent leur capacité d’innovation métier. Plus précisément, 80 % des sondés reconnaissent avoir renoncé à des opportunités d’innovation pour de simples préoccupations de sécurité de l’information.

L’enquête IDC révèle également que 80 % des dirigeants (CEO) considèrent les équipes de sécurité ont une attribution formelle de leur « contribution à la croissance et à l’innovation » alors que seulement 44 % des responsables de la sécurité pensent être jugés en fonction de ce critère. Cette différence révèle un écart surprenant entre les attentes des dirigeants et les priorités des professionnels de la sécurité. En outre, même si la nécessité de relier directement les stratégies de sécurité informatique aux objectifs métiers est un impératif largement partagé, seulement 21 % des sondés considèrent que leur entreprise a réussi sa transition vers une approche proactive, alignée avec les objectifs métiers – capable de stimuler l’innovation plutôt que de la freiner.

« Les entreprises ne peuvent pas progresser sans un environnement sain leur permettant de concrétiser les promesses de l’innovation », ajoute Chris Christiansen, Vice-Président d’IDC. « Il est aujourd’hui évident qu’en dépit des progrès accomplis, la relation entre innovation et sécurité reste problématique, alors que ces deux domaines ne devraient pas être en concurrence mais en synergie… Nous pensons en synthèse que les entreprises qui impliquent assez tôt leurs équipes informatiques dans leur stratégie d’innovation et qui fixent à leurs équipes de sécurité des objectifs quantifiés d’innovation ont de bien meilleures chances d’atteindre leurs objectifs organisationnels. »

Combler le fossé – Des leaders de la sécurité appellent à une nouvelle approche de la gestion du risque

RSA publie également le dernier rapport du Comité « Security for Business Innovation Council » regroupant 10 leaders de la sécurité appartenant à des entreprises de premier plan. Sous le titre « Maîtriser l’équation Risque/Récompense – Optimiser les risques informationnels pour maximiser la prime à l’innovation », cette étude explore les raisons pour lesquelles les méthodes traditionnelles d’évaluation du risque ne sont plus pertinentes dans un monde globalisé et interconnecté – ou toute innovation est par nature porteuse d’un risque informationnel. Dans ce nouveau contexte, le rôle de la sécurité doit évoluer, de celui consistant à uniquement à réduire l’exposition au risque à celui qui maximise les bénéfices métier de l’innovation. En se basant sur leurs bonnes pratiques collectives, ces leaders reconnus de la sécurité proposent une feuille de route permettant de réaliser des calculs Risques/Avantages pour maximiser la création de valeur et contribuer à la réussite de l’entreprise.

« Le plus grand risque que court une entreprise n’est finalement pas qu’une information soit compromise ou qu’une plate-forme soit désactivée ; c’est surtout qu’elle échoue dans la satisfaction des attentes de ses clients », constate Bill Boni, Corporate Vice President, Information Security and Protection de Motorola.

« Pour créer un avantage métier, les entreprises doivent prendre des risques calculés en s’appuyant sur des infrastructures de sécurité leur permettant de toujours demeurer adaptables et réactives. »

Selon ces experts, la stratégie initiale doit porter sur quelques recentrages des modes de pensée et des comportements organisationnels :

1.) Recentrer les préoccupations de l’équipe sécurité sur la « gestion du risque informationnel » plutôt que sur la « sécurité de l’information » car l’objectif est bien d’obtenir un niveau « acceptable » de risque.

2.) Utiliser une approche transversale pour comprendre et formaliser l’appétence au risque de l’entreprise.

3.) Construire un modèle de risques potentiels afin de localiser les responsabilités décisionnelles de la prise de risque.

4.) Créer un processus « pas à pas » reproductible permettant de calculer les Risques/Récompenses relatifs aux initiatives métier – et favoriser son déploiement à toute l’entreprise.

Security for Business Innovation Council – Des expériences individuelles au service de la pertinence collective

La Commission Security for Business Innovation Council regroupe dix experts de la sécurité reconnus mondialement et appartenant tous à des entreprises classées au Global 1000 qui se sont engagés à partager leur propre expertise pour participer aux progrès collectifs de la sécurité dans le monde.

Ses membres sont : Anish Bhimani (Managing Director, IT Risk Management) JP Morgan Chase ; Bill Boni (Corporate Vice President, Information Security and Protection) Motorola ; Dave Cullinane (Vice President and CISO) eBay ; Roland Cloutier (Vice President, CSO) EMC Corporation ; Dr Paul Dorey (Vice President, Digital Security and CISO) BP ; Renee Guttmann (Vice President, Information Security & Privacy) Time Warner ; David Kent (Vice President, Security) Genzyme ; Dr Claudia Natanson (CISO) Diageo ; Craig Shumard (CISO) Cigna Corporation et Andreas Wuchner (Head IT Risk Management, Security & Compliance) Novartis.

Les entreprises souhaitant passer à une approche plus globale de la gestion du risque doivent adopter des processus intégrés d’évaluation du risque informationnel. Dans ce domaine, les rédacteurs du rapport se sont également appuyés sur les recherches de Julia Allen, chercheuse en sécurité et gouvernance d’entreprise au CERT® de l’institut d’ingénierie logicielle de la prestigieuse université Carnegie Mellon.

Le rapport publié ce jour, est le deuxième rapport du Security for Business Innovation Council. Le premier (« Intégrer les stratégies de sécurité et d’innovation – C’est le moment ! » ) publié en début d’année proposait sept recommandations pour faire de la sécurité un vecteur stratégique d’innovation. La nécessité de devenir un expert de l’équilibre entre risques et opportunités, faisait partie de ces 7 recommandations et fut à la base des recherches qui ont donné l’objet de l’annonce actuelle.


Méthodologie

L’étude IDC a été conçue pour mesurer les effets de la sécurité informatique sur la capacité d’innovation métier ; ses résultats sont synthétisés dans le livre blanc de l’IDC publié aujourd’hui et intitulé : « Innovation et Sécurité – Collaboration ou lutte fratricide ». Cette enquête a été menée en ligne par IDC au cours du deuxième trimestre 2008. Les répondants ont été sélectionnés pour leur implication directe dans la sécurité informatique et occupent des fonctions de manager senior ou de dirigeant de ligne d’activité. Environ 200 personnes ont été choisies et retenues pour participer à l’enquête.

- 80 % des répondants appartiennent à une entreprise réalisant au moins 1 milliard de chiffre d’affaires.

- 73 % des répondants sont des cadres de niveau vice-présidence ou supérieur.

- 60 % des répondants appartiennent à une entreprise employant au moins 5 000 salariés.

- 73 % des participants sont basés en Amérique du Nord ; 14 % au Royaume-Uni ; 2 % en Inde ; 6 % en Australie et 5 % dans d’autres pays.

Les rapports du Security for Business Innovation Council sont produits par RSA sur la base d’entretiens individuels avec les membres du conseil. Ils reflètent l’expertise collective, les bonnes pratiques et les points de vue particuliers de 10 experts mondiaux, reconnus unanimement pour leur capacité d’innovation et leur vision stratégique de la sécurité. Leurs opinions sont réunies dans l’objectif de contribuer aux progrès de l’ensemble de l’industrie. RSA prévoit de publier de nouveaux rapports au cours des prochains mois.




Voir les articles précédents

    

Voir les articles suivants