Assises de la Sécurité (2): des données plus précises

Le premier livre blanc édité par le Cercle Européen de la Sécurité Informatique à l’occasion des Assises de la Sécurité informatique à Deauville, le management de la sécurité doit impérativement impliquer trois composantes

Le risque doit être évalué, valorisé, tempéré dans le cadre de la politique sécuritaire que met en place l’entreprise. Et le pouvoir, c’est la question des champs de responsabilité c’est-à-dire de l’attribution des domaines de compétence et d’intervention de la cellule de sécurité. Enfin, la mesure, outil vital pour tout bon manager qui doit au-delà des prévisions faites en amont donner le poids de la sécurité sur la structure de l’entreprise et en aval fournir des éléments sur les impacts de la politique de sécurité et sur le retour sur investissement des solutions déployées.

Six problématiques majeures L’enquête réalisée auprès de 82 professionnels de 65 entreprises a permis de mettre à jour six problématiques importantes pour les directions générales en matière de sécurité informatique. En premier lieu (80 %), c’est la protection du patrimoine immatériel de l’entreprise qui est désormais plébiscitée comme préoccupation majeure par les entreprises. Vient ensuite (76 %) la lutte contre la fraude informatique. Curieusement (et c’est là où se reconnaît la force de groupes de pression tels que les syndicats et les comités d’entreprise) c’est la protection de la vie privée qui gagne la troisième place (55 %). C’est d’ailleurs une des premières justifications (juridique) de la sécurité des systèmes d’information. Toutefois, la loi du 6 août 2004 est venue préciser le périmètre de cette protection, notamment en imposant la création d’une fonction de «délégué à la protection des données personnelles). Aujourd’hui, on constate que 42 % des RSSI collaborent avec un correspondant de ce type. Une collaboration qui ne s’exerce toutefois pas exclusivement au plan de la déclaration de ce qui est personnel et de ce qui est professionnel, mais qui s’etend surtout à tous les moyens de protection utiles. Cette participation se décompose comme suit : – déclaration des traitements (79 %) – définition des moyens de protection (47 %) – audit des moyens de protection (35 %) La prévention des catastrophes naturelles et accidentelles, quant à elle, ne préoccupe plus qu’à peine plus d’un CSO sur 2 (55 %, principalement dans le cadre de stratégies de plans de reprise d’activité après sinistre). D’autres thématiques se font toutefois jour et constituent d’ailleurs l’un des grands thèmes de ces jours. C’est plus particulièrement le cas de la lutte contre l’intelligence économique, laquelle pose problème à quelque 48 % des personnes interrogées. « Responsable sécurité informatique » : un poste tout en nuances Pas moins de 25 appellations pour cette fonction, on ne peut pas vraiment dire que le métier de RSSI ou de CSO soit uniforme et monotone. De fait, l’enquête démontre que l’homme sécurité participe dans 59 % des cas à l’élaboration de la politique sécuritaire. Il est en charge du contrôle et de l’application de cette politique dans 82 % des cas et intègre en général la partie sécurité dans les projets informatiques (78 %). Outre une assez forte implication dans la mise en oeuvre des processus (74 %), il participe dans près d’un cas sur eux à la conception et au choix des solutions à implanter. Bref, on passe progressivemet d’un management stratégique à un management mixte dans lequel l’homme sécurité est l’intermédiaire entre les décideurs et les responsables d’activité (en particulier les équipes informatiques). Chiffres clés

72,4 % des entreprises françaises interrogées par IDC en 2003 perçoivent la destruction de données comme un risque majeur 37,5 % des sinistres informatiques sont à imputer à des erreurs d’utilisation 697 millions de dollars tel est le montant des pertes causées par le crime informatique enregistré par les entreprises américaines en 2003