Questions sur la sécurité de l’information et mes réponses…

1. En regard des sommes investies en SI par les entreprises au Québec, sommes-nous en mesure d’affirmer que la situation a changé?

Absolument. Il est clair que les sommes investis sont non seulement plus importantes depuis les dernières années. Auparavant, les investissements étaient surtout retrouvés dans les solutions technologiques, mais aujourd’hui, ceux-ci sont également retrouvés dans les processus d’affaires, ressources humaines et autres domaines d’intérêts pour l’entreprise (voir réponse question 4).

2. Avons-nous contribué par nos interventions à un changement d’attitude et à un gain de maturité face à la protection de l’information?

La contribution des experts en sécurité est certaine, mais le gain réel vient de l’évolution de la compréhension des utilisateurs et gestionnaires. La sécurité de l’information n’est plus uniquement une conversation entre experts, mais est également retrouvée entre amis et dans les familles.

À un certain niveau, la maturité est un autre sujet en tant que tel. Les points qui ont réellement aidé sont la sensibilisation et la compréhension des risques. Avons-nous réellement besoin de maturité pour comprendre que des données non sécurisées peuvent être vulnérables… ce point devrait plutôt être adressé par la compétence et l’expertise des intervenants concernés.

Avec les médias, la sensibilisation et l’Internet, il n’existe aucune excuse aujourd’hui pour qu’un gestionnaire ne connaisse pas un minimum en sécurité de l’information. Ces connaissances sont aujourd’hui nécessaires à la saine gestion des environnements et à la capacité de servir le client avec qualité et sécurité.

3. Pouvons-nous parler d’un retour sur investissement?

Oui et non. Sans entrer dans les moindres détails, la sécurité de l’information ressemble en quelques points au concept d’assurance d’un bien. Est-il réellement possible de parler de retour sur investissement (RSI) sur l’assurance d’un véhicule? Pas vraiment, à moins de savoir que notre véhicule sera volé dans une période de temps prédéterminé.

Du côté de la sécurité, celle-ci est similaire, car elle est implantée dans les environnements dans le but de protéger différents types actifs contre des attaques ou situations critiques potentielles; il n’y a aucune garantie que nous serons attaqués. Il est donc complexe de « prouver » le RSI.

C’est pourquoi il faut non seulement parler de RSI mais également de contrôle ou valeur sur nos investissements. Je favorise ces termes, car au bout du compte, avec l’aide d’une saine gestion de la sécurité et une planification de celle-ci en amont, il devient possible de faire des implantations durables et en mesure de répondre aux besoins et règlementations changeants des différentes industries. Donc à ce niveau, un retour sur investissement est absolument possible.

4. Que reste t’il à faire et quelles seraient vos cibles d’investissement?

Investir dans sa simplification : aujourd’hui, il y a beaucoup trop de composantes d’affaires dans le monde de la sécurité. Des groupes stratégiques, tactiques, opérationnels, vérificateurs, auditeurs…

Comme le domaine est déjà complexe en lui-même, les investissements en sécurité de l’information doivent idéalement être axés et fondés sur une ligne directrice simple et compréhensible pour l’ensemble des intervenants dans une organisation.

De plus, celle-ci devrait être essentiellement gérée par un ou une responsable qui se rapporte directement à haute direction. De cette approche découlent les interventions reliées aux processus, documentations, équipements, solutions, architectures, infrastructures, etc.

Il faut donc investir dans la simplification de la sécurité et non dans l’ajout de groupes et solutions disparates et complexes à réunir fonctionnellement.

En investissant dans la simplification de la sécurité, celle-ci sera réellement incluse et reconnue comme une expertise primaire dans les organisations. Tant que la sécurité sera perçue comme une « dépense », il sera complexe de relever celle-ci à un niveau de noblesse similaire à d’autres expertises.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: