Actu
Pierre Oger et Laurent Marsal, Fidens : Pensez à manager votre sécurité informatique !
novembre 2010 par Marc Jacob
Le Cabinet Fidens a organisé une session de sensibilisation sur le thème de l’importance du management de la sécurité animé par Pierre Oger et Laurent Marsal. Les deux animateurs ont mis en avant l’importance d’utiliser les normes de types 27001 et Ebios pour améliorer la sécurité des SI.
Pierre Oger et Laurent Marsal ont donné en préambule leur définition des SI : un ensemble de moyens humains et matériels ayant pour finalité d’élaborer, traiter, stocker, acheminer, préserver ou détruire l’information. L’informatique est dans ce schéma un ensemble formé par un ordinateur et les différents éléments qui lui sont rattachés (matériels et logiciels). Ils ont démontré que les SI des entreprises évoluent de façon continue avec parfois même des ruptures dues aux changements de technologies. Aujourd’hui la Sécurité des SI est devenue quasi incontournable. Elle est de plus en plus un moyen de support pour l’activité de l’entreprise, mais est de plus en plus complexe car le SI est toujours plus ouvert. Toutefois, les risques se sont accrus. Pierre Oger et Laurent Marsal ont montré que les entreprises faisaient face à deux principaux risques :
– L’atteinte au fonctionnement d’un système avec les problèmes de paralysie/ralentissement et le détournement de la fonction première du système (intégrité et disponibilité).
– l’atteinte à la confidentialité d’informations sensibles
Ainsi, les points de menaces du SI sont multiples. Elles proviennent principalement par l’action de personnes malveillantes, (concurrence, pirates…) ou par des erreurs d’utilisation par le personnel interne. Ils ont décrits plusieurs scenarii d’actions malveillantes de la clé USB qui cache un malware, à l’action en DDOS ou encore par l’envoi de rootkits, chevaux de troie via le réseau… Pour Pierre Oger et Laurent Marsal, les menaces visibles ne sont que la partie « émergé de l’iceberg », la majeure partie reste inconnue. Ainsi, une des réponses à cet état des lieux est évidemment de déployé des outils de sécurité, mais surtout de mettre en place un Système de Management de la Sécurité de l’Information (SMSI). Pour cela, l’utilisation des normes telles l’ISO 27001 ou encore Ebios est un atout important. En effet, ces normes permettent d’analyser les risques et de mettre un modèle de PDCA appelé aussi roue de Deming. La norme ISO 27001 est un standard reconnu au niveau mondial qui permet de définir les exigences d’un SMSI basée sur la connaissance des risques spécifiques, d’arbitrer de façon raisonnée par Direction de solutions de sécurité vis-à-vis des risques tout en améliorant en continu et progressivement la sécurité. Au final, mettre en place un SMSI c’est mieux connaitre les risques pour pouvoir les gérer en toute connaissance de cause.
