Business

La gestion des risques : arbitre de la sécurité des SI

CIO a organisé le 7 juin 2011 une Matinée Stratégique sur « La gestion des risques : arbitre de la sécurité des SI ». Des DSI y ont témoigné des meilleures pratiques en la matière.

Publicité« Les systèmes d'information sont en eux-mêmes des sources de risques pour l'entreprise comme, par exemple, lors du récent piratage du SI de Lockheed-Martin » a rappelé François Beaume, président de la commission SI de l'AMRAE (Association pour le management des risques et des assurances des entreprises), en ouverture de la conférence « La gestion des risques : arbitre de la sécurité des SI » organisée par CIO le 7 juin 2011 au centre de conférence Etoile Saint Honoré, à Paris. François Beaume a alors présenté les outils et les pratiques de la gestion des risques informatiques dans l'entreprise.

L'intervention de François Beaume en vidéo

Résilience dans le nuage

Pour Caroline Fabre, Responsable des offres de services de secours et de continuité d'activité chez IBM France, et même si informatique et innovation vont de pair, « l'innovation ne peut s'envisager qu'à partir d'un SI stable et résilient ». La base de cette situation est le PCA/PRA. La continuité d'activité, préoccupation permanente, peut s'appuyer sur des offres via le cloud comme celles proposées par IBM. La mutualisation dans le nuage permet en effet d'accéder à des moyens inenvisageables économiquement pour des entreprises.

L'intervention de Caroline Fabre en vidéo

Cette recherche de résilience était au coeur de la première table ronde méthodologique, sur le thème « du risque technique au risque stratégique ». Elle rassemblait Nicolas Ruff, expert sécurité chez EADS Security Labs ; Marie-Noëlle Gibon, présidente de l'AeSCM et Auditeur du Groupe La Poste ; Patrick Chambet, Architecte Sécurité du SI de Bouygues Télécom ; Olivier Ligneul, Chef du bureau assistance et conseil de l'ANSSI ; Philippe Salaün, responsable du Plan de Continuité d'Entreprise et de la gestion de crise de CNP Assurances ; et Michel Juvin, RSSI chez Lafarge.

La table ronde en vidéo

Sans donnée, plus d'entreprise

Sans donnée, plus d'entreprise

La difficulté actuelle de la gestion des risques concernant le SI est qu'elle doit être centrée non plus sur les infrastructures mais sur les données alors même que seules 30% des entreprises ont une vraie politique de sécurité. « Sans ses données, il n'y a plus d'entreprise » a martelé Laurent Heslault, Security Strategist de Symantec France. Il a insisté sur l'intérêt d'industrialiser la sécurisation des données pour rendre celle-ci économiquement envisageable.

PublicitéL'intervention de Laurent Heslault en vidéo

L'étude présentée ensuite par Sebastien Mazas, Head of Governance Risk and Compliance Consulting Services France / Espagne et Abdelbaset Latreche, Principal Consultant PA-DSS & Risk Management, Verizon EMEA, a d'ailleurs permis d'insister sur un point particulièrement gênant : les compromissions de données ne sont généralement révélées aux victimes que par des tiers. Il est donc indispensable de prévoir une vraie politique de conformité aux règles légales et aux bonnes pratiques afin de ne pas être surpris par la compromission du coeur de son activité.

L'intervention de Sebastien Mazas et Abdelbaset Latreche en vidéo

Point trop n'en faut

Cependant, point trop n'en faut, simplement à cause du coût inhérent à toute sécurité. « Il faut savoir adapter les mesures de sécurité aux évolutions de la situation, supprimer les mesures lourdes, bloquantes et inutiles mais créer les mesures adéquates face aux nouveaux risques » a insisté Julien Steunou, Chef du département conseil sécurité chez BT France.

L'intervention de Julien Steunou en vidéo

La deuxième table ronde, sur le thème « du risque stratégique au développement des opportunités » a permis de faire un point plus stratégique et juridique sur le sujet. Y participaient Etienne Papin, avocat associé au cabinet Féral-Schuhl & Sainte-Marie ; Philippe Salaün, cette fois en tant qu'administrateur de l'AFCDP (Association française des correspondants à la protection des données personnelles), CIL et ancien risk manager de CNP Assurances ; et Patrick Chambet, Architecte Sécurité du SI de Bouygues Télécom.

La table ronde en vidéo

Ne pas oublier l'utilisateur !

Ne pas oublier l'utilisateur !

« La principale finalité des attaques contre les SI est le vol de données » a d'ailleurs rappelé Florent Fortune, Directeur Technique EMEA de Websense. Le développement de la webification des applications, de l'usage professionnel des médias sociaux et du cloud (avec la perte de localisation des données) implique de sécuriser les données elles-mêmes. Et de sensibiliser les utilisateurs aux bonnes pratiques voire au simple bon sens pas toujours partagé.

L'intervention de Florent Fortune en vidéo