Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Votre nouvel ouvrage est publié chez Eyrolles en octobre. Quel message clé doit-on retenir ?

octobre 2012 par Marc Jacob

En 10 ans, le numérique a bouleversé la société et le monde de l’entreprise. Et depuis 20 ans, les questions de Sécurité des SI ont été abordées de manière très technique et méthodologique, souvent éloignée des stratégies et des activités « métiers ». Nous sommes à la fin d’un cycle et le secteur doit évoluer de manière forte. Dans un univers global, incertain et hyper-complexe, la Sécurité des SI doit sans doute effectuer un saut créatif tout en revenant sur ses fondamentaux. A défaut, elle pourrait « disparaître », en éclatant et en s’intégrant d’un côté à la sécurité/sûreté dans une approche « cyber-défense » (infrastructures critiques) et « protection du patrimoine » (informations stratégiques), d’un autre, à la gestion des risques liés aux usages et à la dématérialisation (identités numériques, données à caractère personnel et vie privée, signature et preuve électroniques). Dans les deux cas, les questions de « conformité » prennent encore plus de poids. Mais être conforme, n’a jamais signifié être sûr ou sécurisé !

Il faudra faire des choix …
Pouvez-vous expliquer ?

Par exemple, les tentatives d’évolution de la Sécurité SI vers l’Intelligence Economique (veille, protection et influence), la sûreté de l’information et la protection du patrimoine (matériel et immatériel) restent inabouties et sont parfois dangereuses. Des affaires récentes sont à ce titre symptomatiques. N’oublions pas aussi que dans le numérique, l’usage et le partage supplantent largement la propriété. Que faut-il donc vraiment protéger à l’ère du numérique ? En particulier, en termes de secret et confidentialité. Ainsi, l’émergence du Correspondant Informatique et Libertés crée autant de frictions que de synergies entre la protection de la vie privée (conformité à la loi) et le business d’une entreprise « numérique » (développement économique). Pour faire simple, les véritables enjeux de la sécurité numérique se concentrent autour de 4 mots clés : identité, accessibilité, confidentialité et traçabilité (avec de manière sous-jacente les questions de secret et de preuve). C’est un domaine qui a son existence propre et qui continue à se développer en apportant des services transverses, globaux et de plus en plus essentiels pour les entreprises et les administrations.

Que proposez vous ?

Rien de très innovant ici, plus des « aptations » (transaptation ou exaptation, selon les cas, décrites par Pascal PICQ dans « Un paléoanthropologue dans l’entreprise » Eyrolles 2012) que certains ont déjà initiées. Globalement, je propose qu’une fonction « gestion des risques numériques » soit clairement définie dans les entreprises de manière transverse, proche des métiers et si possible, hors des DSI. La responsabilité de la sécurité numérique (opérationnelle) doit être clairement portée par les fonctions informatiques et les fournisseurs de services IT. La fonction transverse ne serait alors plus « responsable ». Elle apporte plutôt une expertise interne (et/ou externe) auprès des Directions des risques ou des Directions Sûreté en étant plus proche des décideurs et des métiers. Les aspects stratégiques (menaces, technologies), sociologiques (comportements, usages), réglementaires / normatifs (globaux, sectoriels), juridiques (contrats, engagements de services) et économiques (dépenses, assurance) sont suffisamment importants pour être abordés de manière plus transverse. Car à l’heure du cloud computing, de la mobilité, du big data et des médias sociaux, la sécurité numérique sera aussi de plus en plus intégrée dans des services globaux et souvent externalisée. Au marché de faire réellement son travail avec des engagements de moyens mais aussi parfois de résultat (protection des données à caractère personnel, infrastructures critiques, valeur probante de documents ou de trace, etc.). Cette évolution devra être menée de façon très pragmatique et certainement sectorielle.

Votre conclusion insiste sur les limites : des pouvoirs, de la réglementation et de l’intégration. Pourquoi ?

Cette notion de limites s’est imposée au fil de la rédaction de l’ouvrage tant le domaine est devenu vaste et complexe. Elles synthétisent l’approche « recentrée » que je propose. Tout d’abord, alors que l’on dénombre plus de 20 associations, commissions et groupes de travail (autant utiles que légitimes) traitant plus ou moins de sécurité numérique, le secteur gagnerait à être mieux structuré autour d’instances plus représentatives des professionnels des entreprises. D’autre part, trop d’énergie a été et reste consacrée aux « politiques sécurité » qui n’apportent plus grand chose, si ce n’est des référentiels d’auto-évaluation voire d’audit / conformité. Font-ils vraiment progresser la sécurité réelle ? L’acculturation du management et des métiers (sur les usages et les risques) doit précéder la réglementation, au moins l’accompagner et non plus lui succéder. Tous les contenus, la pédagogie et les outils sont disponibles mais restent trop peu exploités. Enfin, sur l’intégration, on se situe plus sur le moyen / long terme. Comme pour la sécurité routière, on n’achètera plus les outils et services de sécurité qui seront intégrés dans des technologies de base, des offres d’opérateurs, d’hébergeurs et de platesformes de service. Mais cela aura une limite qui remettra plus que jamais la sécurité réelle dans les mains de l’utilisateur.

D’où l’importance de l’acculturation qui doit aussi porter en elle des messages forts de dissuasion (via des contrôles renforcés et transparents) comme de motivation (via des indicateurs clairs et pertinents).

L’auteur : Pierre-Luc REFALO possède plus de 20 ans d’expérience en Sécurité numérique dans le conseil et en entreprise. Ancien représentant au G8 et à la Commission Européenne sur le cyber-crime, la vie privée et la signature électronique. Il accompagne depuis 10 ans ses clients dans l’évolution de la gouvernance des risques numériques et l’acculturation des acteurs. Il est membre du Comité de Pilotage des Assises de la Sécurité et des SI et auteur des Livres bleus publiés à cette occasion depuis 2004. Contact : plrefalo1063@gmail.com




Voir les articles précédents

    

Voir les articles suivants