"Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n'avez rien compris ni aux problèmes ni à la technologie" Cette citation quelque peu provocatrice de Bruce Schneier(*), résume la situation actuelle de la sécurité des informations et des systèmes d'information et inspire la vision de SSI-Conseil : La sécurité n'est pas un produit, c'est un processus continu ! La sécurité de l'information ne doit pas être vue comme une complexe problématique de techniciens et d'experts mais comme une responsabilité du management.

De nombreuses entreprises ont pris conscience des enjeux liés à la valeur des informations qu'elles détiennent et à la nécessité de les protéger. La sécurité est un acte de management destiné à optimiser la création de valeur.

Qu'elles soient liées à leurs activités commerciales (données clients par exemple) ou à leurs activités industrielles (secrets de fabrication par exemple), ces informations constituent un avantage concurrentiel fragile et convoité.

L' entreprise en réseau s'ouvre... et s'expose : le recours aux techniques réseau d'Internet, la banalisation des systèmes d'exploitation dont Windows et Unix, la nécessité du travail collaboratif des personnes, la messagerie incontournable, rendent les informations particulièrement vulnérables à tous type de sinistres dont les plus connus sont les attaques par virus, vers et autres « malwares ».

La mobilité d'une part (vulnérabilité des ordinateurs portables par exemple) et des techniques de télécommunication mobiles d'autre part (GSM, WIFI), exposent les SI à de nouvelles attaques potentielles.

Enfin la résistance du SI aux possibilités de sinistres tels qu'incendie, inondations, pannes, catastrophe, terrorisme, même si cette problématique n'est pas nouvelle, impose, du fait de la généralisation des flux tendus, de repenser sans cesse les stratégies de sauvegarde mais aussi et surtout la capacité à reprendre les activités commerciales de l'entreprise dans des délais compatibles avec sa survie.

Les dirigeants ont pris un certain nombre de mesures organisationnelles en nommant des responsables sécurité (RSSI). Placés encore majoritairement sous la responsabilité des DSI, les RSSI se sont vu attribuer de très (trop?) nombreuses « casquettes ». Pour parer au plus pressé, ils se sont entourés de spécialistes qui ont développé et mis en place des solutions techniques de sécurité, souvent inspirées des aspects rassurants des défenses en profondeur imaginées par Vauban.

Alors que 80% des incidents de sécurité ont une origine organisationnelle et humaine interne, l'écart entre les investissements technologiques en sécurité (83%) et ceux liés à l'organisation et à la sensibilisation du personnel (16%)** est révélateur d'un véritable problème de communication entre responsables de la sécurité et leurs directions fonctionnelles et générale.

La sécurité est encore perçue par la Direction Générale comme la nécessité triste d'un empilement d'investissements technologiques majoritairement destinés à se protèger de l'extérieur et sans espoir de retour sur investissement.

Pourtant, certaines entreprises valorisent leur démarche sécurité dans leurs rapports annuels, rassurant clients, prospects et actionnaires, transformant ainsi leurs investissements sécurité en avantage concurrentiel.

Choisiriez-vous de travailler en partenariat étroit avec une entreprise dont la politique de sécurité ou dont le plan de reprise d'activité en cas de sinistre ne seraient pas une réalité ?

(*)Bruce Schneier, qui a inspiré cette introduction est un expert technique renommé en sécurité informatique, qui a eu l'immense mérite de remettre en cause sa vision initiale de la sécurité. Après avoir parié sur les seules vertus des solutions techniques et mathématiques (essentiellement de cryptage) pour protèger l'information, s'est rendu compte qu'il faisait fausse route en négligeant les aspects organisationnels et humains (susceptibles d'effondrer les plus belles constructions théoriques) et exprime cette démarche dans un livre culte :
Secrets et Mensonges traduit aux éditions Vuibert Informatique.