J’accepte le risque (évolutif)

Pendant plusieurs années, la sécurité informatique était considérée comme un domaine technique obscur et souvent une opération parmi tant d’autres, car les grands systèmes informatiques d’autrefois n’étaient qu’accessibles que par certains individus – eux reliés directement aux administrateurs et certains autres utilisateurs particuliers.

De plus, ce qui simplifiait d’autant plus la situation, était le fait que ces grands systèmes informatiques centraux étaient limités à un rayon d’action plus simple à déterminer qu’aujourd’hui (une salle, un étage, une bâtisse), et donc, plus simple à contrôler.

Avec la venue de réseau étendu comme Internet ainsi que le nombre grandissant d’échanges électroniques et d’utilisateurs, le rayon d’action des systèmes informatiques devient de plus en plus complexe à contrôler, gérer et naturellement, sécuriser.

Avec cette complexité grandissante, la gestion de la sécurité de l’information et les interactions contenues avec ces systèmes devient donc beaucoup plus complexe. Pour ces différentes raisons, des postes de spécialistes, analystes et architectes en sécurité de l’information sont de plus en plus communs dans les entreprises.

Ces experts ont souvent comme mission de faire l’analyse, la planification ou même l’architecture des solutions (affaires et technologiques) répondant le mieux aux besoins et circonstances d’affaires des entreprises. Suivant ces études, des recommandations sont remises aux gestionnaires qui sont responsables de prendre les décisions.

Naturellement, certaines de ces recommandations provoquent des modifications qui à leurs tours peuvent potentiellement apporter des couts additionnels; pas nécessairement prévus dans les budgets initiaux. Voilà où débutent généralement les préoccupations de gestion; ex.: devrais-je effectuer les changements identifiés et si oui à quel point devrais-je accepter le risque et donc, n’implanter que les recommandations critiques et non significatives?

Dans cette situation, voyant l’impact des couts au niveau des budgets et l’ajout de travail possible, certains gestionnaires acceptent les risques et vont de l’avant avec le projet; malgré les recommandations de sécurité présentés et les risques potentiels.

Avec une approche trop rapide, il est toutefois possible que ces gestionnaires acceptent un niveau de responsabilité et de risque trop élevé. Que cela soit des données personnelles ou financières, leur appartenant ou pas, plusieurs gestionnaires acceptent ou non les recommandations ainsi que le niveau de protection qu’ils jugent adéquat suivant des analyses.

Sur ce, à quel moment devrions-nous nous interroger sur le niveau de protection de notre information personnelle et surtout à quel point une entreprise ou une organisation possède-t-elle la capacité de faire un jugement éclairé sur cette situation. Ajouté à cela des contrats d’impartition complexes, des clients exigeants, des niveaux de services parfaits…

Plus loin dans la réflexion, à quel point savons-nous où est notre information et à quel point devrions-nous avoir la capacité de faire la vérification de nos données personnelles pour s’assurer qu’elles sont bien protégées?

C’est pourquoi toute entreprise de doit pas simplement effectuer une évaluation externe des risques, mais de bien prendre le temps d’inclure les joueurs les plus connaissants des affaires internes; vos employés. Comme plusieurs gestionnaires nous ont indiqués dans les dernières années, il n’est pas nécessaire de faire l’embauche de consultant pour répondes à tous nos besoins, mais bien s’assurer que nos employés sont correctement formés pour répondes à ces besoins et plusieurs autres.

La sécurité et la gestion des risques n’a rien de complexe si l’on dispose d’un gros bon sens de gestion et d’un niveau de curiosité suffisant. Certes il existe des enjeux et technologies complexes et particulière que d’autres qui nécessitent une aide externe. Mais cette approche devrait être minimisée au maximum pour garantir la continuité de votre organisation et la saine gestion de vos environnements.

Sur une note plus philosophique, je tiens à rappeler à tous et à toutes qu’un tournant du 20e siècle, il existait dans plusieurs grandes organisations des postes de gestionnaire d’électricité et un vaste réseau de spécialiste et analyste dédié à ce domaine d’intérêts (très similaire aux réseaux, à la sécurité, au développement, etc.).

Donc pour ceux qui croient que la sécurité et la gestion des risques sont un domaine central à une organisation, je pose cette coquille : connaissez-vous un gestionnaire d’électricité dans votre groupe d’ami actuel? Si la réponse est non, je vous confirme que toute expertise passe, avec le temps, de mains en mains pour finalement se diriger vers un niveau de commodité.

Importante, la sécurité et la gestion des risques est un domaine qui doit être gérée par votre organisation interne, vos employés et vos partenaires et par nul autre.

Leave a Reply

%d bloggers like this: