ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
Sécurité : au revoir<br />
le maillon faible…<br />
La stratégie de sécurité doit être calquée sur la stratégie globale<br />
de l’entreprise, selon Sogeti. L’expérience de l’utilisateur inspire<br />
les politiques de sécurité réussies.<br />
Souvent, le collaborateur est un risque latent pour l’entreprise… un maillon fort<br />
ou un maillon faible. «Les entreprises ne réfléchissent pas assez à leur gestion<br />
de personnel, explique Jérôme Jacob, expert sécurité chez Sogeti. Les menaces<br />
ne sont maîtrisées que quand la sécurité prend en compte tous les aspects<br />
qui concernent les utilisateurs.»<br />
En fait, la vulnérabilité peut cohabiter avec la<br />
menace sans causer de dommages. Le tout<br />
est d’adapter le niveau de prévention aux besoins<br />
de l’entreprise. «Quand on démarre un<br />
projet sécurité et qu’on arrive avec ses grosses<br />
valises, les utilisateurs pensent ‘oh non,<br />
pas eux’, explique Jérôme Jacob. Pour faire<br />
adhérer les utilisateurs, il faut qu’ils soient au<br />
centre du projet.» Et le rôle du responsable<br />
de la sécurité (RSSI) est tant relationnel que<br />
technique. «On s’appuie sur l’expérience<br />
des gens pour établir un état d’esprit», dit<br />
Jérôme Jacob. Après avoir défini la meilleure<br />
approche et «périmétré» ce qui doit être protégé,<br />
les politiques sont traduites en gestes<br />
quotidiens pour les utilisateurs. «Le suivi des<br />
procédures est assuré par un quizz qui sert<br />
aussi de feedback à l’incident manager»,<br />
explique Jérôme Jacob.<br />
PREVENTION<br />
OU DÉTECTION ?<br />
Le métier de RSSI est encore souvent un<br />
métier de l’ombre, dont les utilisateurs ne<br />
perçoivent la portée qu’en cas de problème.<br />
Or, le RSSI a un rôle essentiel de veille. «Il<br />
faut sans cesse améliorer ses connaissances<br />
et sa réactivité, faire du benchmarking pour<br />
suivre l’évolution des menaces, profiter de<br />
l’expertise d’un réseau comme le Clussil,<br />
explique Jérôme Jacob. Beaucoup de gens<br />
font encore dans la détection et pas assez<br />
dans la prévention.» Un métier ingrat ? «Tous<br />
les jours, il y a de nouvelles menaces, et<br />
tous les jours, un utilisateur peste contre<br />
une nouvelle politique, dit Jérôme Jacob.<br />
L’important est donc de gérer le changement<br />
permanent tout en correspondant aux<br />
investissements, souvent importants,<br />
réalisés dans le domaine de la sécurité.»<br />
Depuis 2001, les grandes entreprises ont<br />
en effet investi beaucoup plus, créant un<br />
mouvement général d’ «ultra-sécurité».<br />
INACCESSIBLE<br />
RISQUE ZÉRO<br />
L’audit est devenu central pour gérer une<br />
politique de sécurité efficace, par exemple<br />
via la norme ISO 27.001 comme «un fil à<br />
suivre pour évaluer le niveau de vulnérabilité»,<br />
explique Jérôme Jacob. Le Business<br />
Impact Analysis (BIA) permet d’assurer la<br />
continuité du business en mettant chaque<br />
élément sous contrôle et en le mesurant.<br />
«On ne peut pas faire de la sécurité informatique<br />
sans analyse et sans BIA, qui sont de<br />
bonnes bases pour la suite», estime Jérôme<br />
Jacob. Et la suite implique de savoir gérer<br />
les sensibilités humaines, dont les accès…<br />
La réactivité des utilisateurs, de même que<br />
leur sensibilisation au secret, deviennent<br />
essentielles par rapport au «mal nécessaire»<br />
qu’est la sécurité.<br />
42 AVRIL 08