Pour une nouvelle approche de la sécurité

Thierry Jardin

Associé

Contact : e-mail

Dans l'objectif d’une meilleure maîtrise des risques, les entreprises doivent basculer d’un mode réactif à une gestion des risques proactive des risques afin de sécuriser leur système d’information et notamment les informations qu’il renferme.

Les stratégies de sécurisation des systèmes d’information sont à un tournant. Encore récemment, les entreprises investissaient uniquement dans des solutions matérielles et logicielles visant à assurer la protection de leur SI. Or, nous constatons que les problèmes de sécurité sont toujours aussi aigus. Le SI est devenu un élément stratégique incontournable dans le fonctionnement de l’entreprise. Les solutions utilisées ne sont pas en cause, mais plutôt les processus associés à leurs définitions et mises en œuvre en regard des actifs à protéger. Selon une étude de la Banque Mondiale la majorité des actifs sont de nature immatérielle. Désormais, les acteurs économiques sont dans l’obligation de considérer la sécurité de l’information en intégrant un processus transverse ayant pour but de protéger l’ensemble de leurs actifs.

La pression réglementaire s’accroît sur les organisations. Le système d’information doit délivrer de l’information disponible, intègre, et confidentielle. Cette réglementation devrait s’orienter dans l’avenir vers l’exigence de la mise en place d’une gouvernance de la sécurité. Promulguée en 2005, la norme ISO 27001 répond à cette demande. Calquée sur les normes ISO 9001 et 14001 relatives au management de la qualité et des politiques environnementales, elle devrait s’imposer progressivement. Au-delà de la mise en œuvre de solutions de sécurité, les entreprises vont devoir s’inscrire dans un cercle vertueux d’amélioration continue de leurs processus de sécurité, garantissant cette maîtrise des risques.