Assises de la Sécurité : faut-il croire au ‘benchmarking’ ?

Peut-on accréditer un benchmarking de la sécurité? Cette question est posée par le livre blanc édité à l’occasion des Assises de la Sécurité qui viennent de se clore ce 21 octobre à Monaco

Trois constats majeurs à mentionner, à titre de synthèse:

1-Premier constat : la criminalité informatique continue sa progression. Ainsi, comme le souligne le ministère de l’Intérieur, il faut toutefois admettre une dichotomie entre les infractions spécifiques aux technologies de l’information et de la communication, d’une part, et les infractions facilitées par l’utilisation de ces dernières, d’autre part. Concernant les premières, entre 2003 et 2004 les progressions constatées sont les suivantes : + 9 % en matière de piratage + 48 % d’atteintes à la loi Informatique et Libertés + 149 % de diffusion de programmes informatiques permettant de diffuser de fausses cartes bancaires. En matière d’usage frauduleux, la progression est plus mesurée: + 6 % pour les atteintes à la loi de la Presse sur Internet + 22,4 % pour la diffusion d’images de pédo-pornographie + 34,6 % pour les escroqueries par utilisation de numéro de carte bancaire. 2-Deuxième constat : la nécessité de raisonner à partir de tableaux de bord sur la sécurité. Ces quelques indicateurs montrent bien que le problème n’est pas une mode mais qu’il existe bel et bien et doit être posé en termes très précis dans l’entreprise. Or, les DSI ont la fâcheuse tendance de penser stratégie là où désormais ils devraient faire passer celle-ci au plan opérationnel. Mais pour ce faire, il est indispensable de dresser un tableau de bord des indicateurs de la sécurité qui permette de savoir si l’on est ou non « hors cadre ». Outre des indicateurs stratégiques classiques concernant la mise en oeuvre de la politique de sécurité et la cartographie des risques, le livre blanc des Assises propose de prendre en compte trois grandes catégories d’indicateurs : -des indicateurs financiers, notamment liés à la mesure du retour sur investissement, qui permettront le suivi des dépenses sécurité selon les grands domaines d’application de celle-ci (sans oublier bien évidemment les dépenses liées à la formation et aux opérations de sensibilisation des utilisateurs) ; -des indicateurs organisationnels et humains qui, au-delà de la formation des maîtres, pointeront les changements dans les organigrammes prévus en cas d’incident et décriront très précisément l’impact des procédures d’alerte ; – des indicateurs fonctionnels et opérationnels (peut-être les plus importants) permettront de recenser par exemple le nombre de failles constatées et le degré de gravité de chacune. Tous ces indicateurs serviront également à effectuer un bilan des alertes des incidents survenus et à permettre d’identifier les causes de ceux-ci. Mais c’est également dans la disponibilité des services que ces indicateurs joueront un rôle majeur, qu’il s’agisse de recenser les taux de disponibilité (http, smtp, dns…), le nombre et le type des anomalies issues de l’analyse des fichiers log, d’en identifier et hiérarchiser les causes, ou encore d’assurer des fonctions de contrôle d’accès et de contenu. Or, pour le moment, ce sont les indicateurs financiers qui sont les plus répandus. À croire que la performance de l’entreprise ne se mesure que sur le plan économique, ce qui délaisse clients et ressources humaines. Or un bon tableau de bord de la sécurité informatique, s’il était mis en place de façon efficace dans les entreprises, offrirait, aux différents niveaux de décision, des indicateurs de pilotage précis et synthétiques, ainsi qu’une vision synoptique de l’état de la sécurité, tant fonctionnelle et organisationnelle qu’opérationnelle. Car il faut en effet aller plus loin que la simple stratégie afin de pouvoir disposer d’indicateurs de disponibilité des réseaux qui mettent en avant les incidents, qui en identifient précisément la cause et qui permettent un diagnostic rapide pouvant déboucher sur des actions correctives. 3-Troisième constat : système de sécurité informatique, le mariage de la carpe et du lapin L’enquête menée par le Cercle Européen de la Sécurité et publiée à l’occasion des Assises donne un éclairage particulièrement précis de cette fonction dans l’entreprise. D’abord, la fonction de DSI subit un phénomène de maturation (spécialisation et transversalité) qui va incontestablement dans le sens du management stratégique des cyber-risques. Toutefois, cela ne veut pas dire qu’il faille pour autant se délester de ses spécialistes SSI, bien au contraire. Cela signifie plutôt que le RSI opérationnel ne doit pas être uniquement un mécanicien: il doit être véritablement le garant d’une sécurité cohérente et correctement intégrée en termes de processus. Reste une ultime difficulté : apparaître comme un spécialiste technique de la sécurité informatique, alors que bon nombre d’enjeux s’avèrent surtout stratégiques, mais aussi juridiques, organisationnels, éducatifs, financiers… De façon surprenante, cette transversalité ne s’accompagne pas d’un meilleur rattachement hiérarchique. Il reste encore à faire de nombreux efforts de communication et de formation pour que bon nombre de professionnels disposent enfin d’une légitimité qui aille au-delà d’un titre d’une position hiérarchique. 4-Quatrième constat : protéger le patrimoine de l’entreprise avant tout; comme en 2004, la protection du patrimoine immatériel reste l’enjeu principal de la sécurité informatique. Viennent ensuite la lutte contre la fraude informatique, la déviance informatisée, voire le crime assisté par ordinateur, légitimant la mise en place de contrôles, de systèmes de cyber-surveillance ou même des procédures d’investigation ; tout ceci ne pouvant être placé sous la seule responsabilité de la protection de la vie privée. Ceci explique sans doute pourquoi un nombre croissant d’entreprises mettent en place un correspondant pour la protection des données personnelles. Les attentats du 11 septembre 2001, la loi américaine Sarbanes-Oxley et celle sur la sécurité financière en France ne semblent pas avoir un effet sensible sur les enjeux des professionnels de la sécurité informatique. Moins d’un sur deux affirme s’occuper des dossiers de catastrophes, d’espionnage ou de fraude économique. Deux autres éléments méritent encore d’être notés : en premier lieu, ce sont désormais des actions de formation et de sensibilisation qui prennent une part de plus en plus importante (progression de 68 à 90%) dans l’approche sécuritaire. En second lieu, la veille technologique et contextuelle prend de plus en plus d’importance, car elle est liée à la compréhension de l’environnement global de l’entreprise.