Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Marc Vaillant, Criston Software : Conformité et gestion de parc au centre de la gouvernance IT des organisations

février 2008 par Marc Vaillant, PDG de Criston Software

Au regard des différentes évolutions des standards et des normes (Sox, ITIL, ISO27001,IS017799...) mais également des risques liés à une utilisation malveillante des postes de travail, la mise en ouvre d’une bonne gestion des actifs informatiques de l’entreprise s’impose désormais comme une priorité incontournable pour les DSI.

En effet, élément stratégique pour les sociétés comme pour les
administrations, la conformité de leurs postes représente une problématique
complexe souvent encore gérée de manière empirique et artisanale par les
départements informatiques. Pourtant, la conformité des postes représente à
la fois une donnée stratégique pouvant impacter la productivité de l’
entreprise mais également la sanctionner, comme par exemple en cas d’
installation non conforme de logiciels illégaux

Alors comment se prémunir de ce type de risques ?

Il convient tout d’abord de prendre le problème dans son ensemble. Les
projets de gestion de la conformité doivent être portés par le top
management qui doit transcrire et expliquer de manière précise et
opérationnelle les risques liés à une non-conformité (financiers, sécurité,
productivité.). Une charte d’entreprise impliquant les collaborateurs et les
informant clairement de leurs droits et devoirs en matière d’utilisation de
l’outil informatique et des applicatifs et périphériques associés doit
ensuite être diffusée.

L’établissement des politiques de conformité nécessite une vision globale
sur l’infrastructure en place. Cet élément est une donnée fondamentale
notamment pour les entreprises bénéficiant d’une structure organisationnelle
multi-sites et décentralisée où les inventaires physiques sont difficilement
réalisables et rapidement obsolètes. Mais, une fois ce travail de fond
réalisé, il convient de s’assurer de la bonne mise en ouvre des politiques
définies et de leurs applications sur le terrain. Très vite, l’on constate
qu’à partir de 20 postes, cet exercice devient fastidieux, consommateur de
ressources et difficile à maintenir sans une industrialisation des processus
de gestion des actifs informatiques de l’entreprise.

Un point marquant tient également à la sensibilisation de l’ensemble des
acteurs sur ces problématiques et notamment à la demande croissante des
entreprises du « middle market » qui avaient jusqu’alors plutôt ignoré ces
aspects. Avec l’accroissement significatif des équipements IT dans les PME
(serveurs, postes,.), il apparaît désormais naturel de veiller à leur
utilisation.

Imaginons par exemple une PME dans le domaine du e-commerce dont les
serveurs web auraient chuté suite à une attaque virale car ils n’étaient
plus protégés.La perte de chiffre d’affaires suffirait à elle seule à
justifier de la mise en production d’un outil permettant d’avertir
automatiquement le responsable informatique lors de l’expiration des
prestations de protection, ou encore de l’état de vulnérabilité globale de l
’infrastructure.

On comprend donc parfaitement, à travers ces éléments, l’importance des
outils de gestion de la conformité et de leurs tableaux de bord, et leur
essor constant au sein de l’entreprise. Forts de leur caractère très
opérationnel et de leur simplicité d’accès et de mise en ouvre, ils
permettent non seulement de décharger les DSI d’une veille fastidieuse de la
conformité de leur parc grâce à une vision synthétique, mais également de
mettre en ouvre les actions nécessaires pour remédier aux non-conformités.
Maillon clé de la gouvernance IT, la gestion de la conformité permet ainsi
de renforcer les aspects liés à la fois à la mise en ouvre des bonnes
pratiques dans l’entreprise mais également à sa sécurité.

En ce sens, la complémentarité et la convergence des standards (ISO 27000,
ISO 20000, ITIL) devrait favoriser leur adoption par le cadre et les
possibilités de certification qu’ils proposent.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants