Le document souligne quatre lacunes dans les programmes de sécurité de l'information des organisations face à l'intégration de nouvelles technologies. Il recommande d'améliorer les compétences en gestion des risques, d'impliquer les gestionnaires intermédiaires et d'adapter le discours des responsables de la sécurité pour mieux aligner leurs efforts avec les besoins des affaires. Enfin, il plaide pour une évaluation rigoureuse des solutions de sécurité afin de garantir qu'elles correspondent à la valeur que l'on cherche à protéger.

1. Combler les écarts en sécurité
::::
de l’information
Quatre manques au niveau des programmes de sécurité de l’information font surface lorsque les organi-
sations intègrent des technologies qui transforment leurs systèmes d’information. Que faut-il faire?
L
e groupe Security for Business sécurité n’adapte pas son langage, il lui 4. Établir des plans d’action précis
Innovation Council dans le récent sera difficile de "franchir" l’étape de ces pour les innovations technologi-
dossier
Jean-François Ferland ::::
rapport Information Security Shake- patrons intermédiaires. » ques
Up (http://bit.ly/XigPG5) décrit quatre
manques qui se manifestent lorsque les or- Dave Martin : « Quand on établit les po- Michel Boutin : « Il faut faire une bonne
ganisations adoptent des technologies de litiques liées à la sécurité de l’information, évaluation de la solution de sécurité
l’heure. Comment combler ces manques? qu’on invite les gestionnaires intermédiai- qu’on veut mettre en place et s’assurer
Voici les observations des spécialistes : res! Qu’on leur demande comment tel qu’elle correspond à la valeur de ce qu’on
élément rendra leur vie plus difficile, afin veut protéger. Si elle surprotège, on perd
1. Augmenter ses compétences en de voir si une façon différente d’implan- de l’argent et si elle sous-protège, on crée
gestion des risques et en affaires un risque qu’on ne
veut pas accepter.
Michel Cusin : « Si le directeur ou le Aiussi, il faut bien
groupe responsable de sécurité de l’infor- comprendre le be-
mation ne comprend pas la nature même soin du demandeur
de la business dans laquelle il oeuvre, il avant d’énoncer une
est à peu près impossible d’être capable solution, en validant
de fournir des solutions aux unités d’affai- une série de points
res de façon sécuritaire. Une personne en avec le client interne
sécurité qui est déconnectée des affaires Michel Cusin Michel Boutin Dave Martin et externe. »
se trouve à côté des rails... »
ter un contrôle facilitera leur travail au Dave Martin : « Avec les changements
Michel Boutin : « Les responsables de la quotidien. Aussi, ce sera l’occasion de les liés à l’infonagique ou à la mobilité, où
sécurité doivent arrêter de parler de vulné- éduquer sur l’importance de la politique l’organisation adopte une infrastructure
rabilités, de menaces et d’élimination de de sécurité en question. Les gens ne semblable à celle d’un prestataire de
risques, mais plutôt de gestion de risques sortiront peut-être pas de la réunion en service, on obtient un effet de levier en
dans une perspective où les actions ap- accord, mais la discussion aura permis de intégrant la sécurité à même l’applica-
portent de la valeur à l’entreprise. Surtout, comprendre les impacts de la politique sur tion, en plaçant les contrôles de sécurité
son langage doit évoluer. Il doit reconnaî- les processus d’affaires. » plus près des données. On s’assure
tre qu’il doit "vendre sa salade" et parler ainsi d’une plus grande agilité et d’une
non pas en termes techniques, mais avec 3. Aborder les enjeux liés à la meilleure convivialité, en plus d’obtenir
un langage d’affaires afin d’avoir l’atten- chaîne d’approvisionnement en TI l’attention d’un grand nombre de gens
tion de la direction de l’entreprise. » sur la sécurité. »
Michel Cusin : « Puisqu’on ne peut
2. Courtiser les gestionnaires mettre à l’épreuve le service d’un héber- Michel Cusin : « La sécurité de l’in-
intermédiaires geur, il faut tenter d’obtenir des rapports formation étant une partie intrinsèque
pour les tests qu’il a réalisés, sinon avoir de l’organisation, les gestionnaires de
Michel Boutin : « Le responsable de la une déclaration où il affirme qu’il a fait l’entreprise doivent aller chercher un
sécurité doit rencontrer les gens du mar- des vérifications diligentes. Puisqu’on ne minimum de formation en gestion de
keting et de la production, les directeurs peut auditer le code source d’un logiciel la sécurité et être davantage conscients
de succursale, etc. pour comprendre commercial, il faut faire confiance à son des menaces possibles auxquelles ils font
quel est leur environnement et quelles éditeur qu’il en corrigera rapidement les face. Au niveau de la sécurité opéra-
sont leurs façons de travailler. Il sera alors failles. On n’a pas le plein contrôle, et tionnelle, toutes les organisations ne
mieux armé pour faire valoir ses points. vu la nature des affaires d’aujourd’hui, possèdent pas nécessairement les com-
N’oublions pas que les gestionnaires parfois on peut être obligé d’accepter pétences à l’interne. Il est important de
intermédiaires ont leurs propres priorités certains risques. Est-il critique d’utili- se concentrer sur les aspects de sécurité
et doivent répondre aux commandes ser telle composante? Y faisons-nous directement en lien avec le coeur des
d’en haut. Tant que le responsable de la confiance? C’est du cas par cas. » opérations. »
14 Mars/Avril 2013 - Directioninformatique.com