SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Notre Vision Convertir en PDF Version imprimable Suggérer par mail
20-09-2005

"Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n'avez rien compris ni aux problèmes ni à la technologie"

Cette citation quelque peu provocatrice de Bruce Schneier(*), résume la situation actuelle de la sécurité des informations et des systèmes d'information et inspire la vision de SSI-Conseil :

La sécurité n'est pas un produit, c'est un processus continu !

La sécurité de l'information ne doit pas être vue comme une complexe problématique de techniciens et d'experts mais comme une responsabilité du management. 
Image 

De nombreuses entreprises ont pris conscience des enjeux liés à la valeur des informations qu'elles détiennent et à la nécessité de les protéger. La sécurité est un acte de management destiné à optimiser la création de valeur.

Qu'elles soient liées à leurs activités commerciales (données clients par exemple) ou à leurs activités industrielles (secrets de fabrication par exemple), ces informations constituent un avantage concurrentiel fragile et convoité.

L' entreprise en réseau s'ouvre... et s'expose : le recours aux techniques réseau d'Internet, la banalisation des systèmes d'exploitation dont Windows et Unix, la nécessité du travail collaboratif des personnes, la messagerie incontournable, rendent les informations particulièrement vulnérables à tous type de sinistres dont les plus connus sont les attaques par virus, vers et autres « malwares ».

La mobilité d'une part (vulnérabilité des ordinateurs portables par exemple) et des techniques de télécommunication mobiles d'autre part (GSM, WIFI), exposent les SI à de nouvelles attaques potentielles.

Enfin la résistance du SI aux possibilités de sinistres tels qu'incendie, inondations, pannes, catastrophe, terrorisme, même si cette problématique n'est pas nouvelle, impose, du fait de la généralisation des flux tendus, de repenser sans cesse les stratégies de sauvegarde mais aussi et surtout la capacité à reprendre les activités commerciales de l'entreprise dans des délais compatibles avec sa survie.

Les dirigeants ont pris un certain nombre de mesures organisationnelles en nommant des responsables sécurité (RSSI). Placés encore majoritairement sous la responsabilité des DSI, les RSSI se sont vu attribuer de très (trop?) nombreuses « casquettes ». Pour parer au plus pressé, ils se sont entourés de spécialistes qui ont développé et mis en place des solutions techniques de sécurité, souvent inspirées des aspects rassurants des défenses en profondeur imaginées par Vauban.

Alors que 80% des incidents de sécurité ont une origine organisationnelle et humaine interne, l'écart entre les investissements technologiques en sécurité (83%) et ceux liés à l'organisation et à la sensibilisation du personnel (16%)** est révélateur d'un véritable problème de communication entre responsables de la sécurité et leurs directions fonctionnelles et générale.

La sécurité est encore perçue par la Direction Générale comme la nécessité triste d'un empilement d'investissements technologiques majoritairement destinés à se protèger de l'extérieur et sans espoir de retour sur investissement.

Pourtant, certaines entreprises valorisent leur démarche sécurité dans leurs rapports annuels, rassurant clients, prospects et actionnaires, transformant ainsi leurs investissements sécurité en avantage concurrentiel.

Choisiriez-vous de travailler en partenariat étroit avec une entreprise dont la politique de sécurité ou dont le plan de reprise d'activité en cas de sinistre ne seraient pas une réalité ?

(*)Bruce Schneier, qui a inspiré cette introduction est un expert technique renommé en sécurité informatique, qui a eu l'immense mérite de remettre en cause sa vision initiale de la sécurité. Après avoir parié sur les seules vertus des solutions techniques et mathématiques (essentiellement de cryptage) pour protèger l'information, s'est rendu compte qu'il faisait fausse route en négligeant les aspects organisationnels et humains (susceptibles d'effondrer les plus belles constructions théoriques) et exprime cette démarche dans un livre culte :
Secrets et Mensonges traduit aux éditions Vuibert Informatique.

(**)Ernst and Young " la sécurité des systèmes d'information dans les entreprises françaises en 2003.
Dernière mise à jour : ( 18-03-2009 )
< Précédent
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.