Direction Informatique

Mars/Avril 2013

Direction informatique | technologies de l'information, TI, communications, stratégies

Issue link: http://epubs.itworldcanada.com/i/120976

Contents of this Issue

Navigation

Page 13 of 22

:::: Combler les ��carts en s��curit�� de l���information Jean-Fran��ois Ferland :::: dossier Quatre manques au niveau des programmes de s��curit�� de l���information font surface lorsque les organisations int��grent des technologies qui transforment leurs syst��mes d���information. Que faut-il faire? L e groupe Security for Business Innovation Council dans le r��cent rapport��Information Security ShakeUp (http://bit.ly/XigPG5) d��crit quatre manques qui se manifestent lorsque les organisations adoptent des technologies de l���heure. Comment combler ces manques? Voici les observations des sp��cialistes : 1. Augmenter ses comp��tences en gestion des risques et en affaires Michel Cusin��: ����Si le directeur ou le groupe responsable de s��curit�� de l���information ne comprend pas la nature m��me de la business dans laquelle il oeuvre, il est �� peu pr��s impossible d�����tre capable de fournir des solutions aux unit��s d���affaires de fa��on s��curitaire. Une personne en s��curit�� qui est d��connect��e des affaires se trouve �� c��t�� des rails...���� Michel Boutin : ����Les responsables de la s��curit�� doivent arr��ter de parler de vuln��rabilit��s, de menaces et d�����limination de risques, mais plut��t de gestion de risques dans une perspective o�� les actions apportent de la valeur �� l���entreprise. Surtout, son langage doit ��voluer. Il doit reconna��tre qu���il doit "vendre sa salade" et parler non pas en termes techniques, mais avec un langage d���affaires afin d���avoir l���attention de la direction de l���entreprise.���� 2. Courtiser les gestionnaires interm��diaires Michel Boutin : ����Le responsable de la s��curit�� doit rencontrer les gens du marketing et de la production, les directeurs de succursale, etc. pour comprendre quel est leur environnement et quelles sont leurs fa��ons de travailler. Il sera alors mieux arm�� pour faire valoir ses points. N���oublions pas que les gestionnaires interm��diaires ont leurs propres priorit��s et doivent r��pondre aux commandes d���en haut. Tant que le responsable de la 14 s��curit�� n���adapte pas son langage, il lui sera difficile de "franchir" l�����tape de ces patrons interm��diaires.���� 4. ��tablir des plans d���action pr��cis pour les innovations technologiques Dave Martin : ����Quand on ��tablit les politiques li��es �� la s��curit�� de l���information, qu���on invite les gestionnaires interm��diaires! Qu���on leur demande comment tel ��l��ment rendra leur vie plus difficile, afin de voir si une fa��on diff��rente d���implan- Michel Boutin : ����Il faut faire une bonne ��valuation de la solution de s��curit�� qu���on veut mettre en place et s���assurer qu���elle correspond �� la valeur de ce qu���on veut prot��ger. Si elle surprot��ge, on perd de l���argent et si elle sous-prot��ge, on cr��e un risque qu���on ne veut pas accepter. Aiussi, il faut bien comprendre le besoin du demandeur avant d�����noncer une solution, en validant une s��rie de points avec le client interne Dave Martin et externe.���� Michel Cusin Michel Boutin ter un contr��le facilitera leur travail au quotidien. Aussi, ce sera l���occasion de les ��duquer sur l���importance de la politique de s��curit�� en question. Les gens ne sortiront peut-��tre pas de la r��union en accord, mais la discussion aura permis de comprendre les impacts de la politique sur les processus d���affaires.���� 3. Aborder les enjeux li��s �� la cha��ne d���approvisionnement en TI Michel Cusin : ����Puisqu���on ne peut mettre �� l�����preuve le service d���un h��bergeur, il faut tenter d���obtenir des rapports pour les tests qu���il a r��alis��s, sinon avoir une d��claration o�� il affirme qu���il a fait des v��rifications diligentes. Puisqu���on ne peut auditer le code source d���un logiciel commercial, il faut faire confiance �� son ��diteur qu���il en corrigera rapidement les failles. On n���a pas le plein contr��le, et vu la nature des affaires d���aujourd���hui, parfois on peut ��tre oblig�� d���accepter certains risques. Est-il critique d���utiliser telle composante? Y faisons-nous confiance? C���est du cas par cas.���� Dave Martin : ����Avec les changements li��s �� l���infonagique ou �� la mobilit��, o�� l���organisation adopte une infrastructure semblable �� celle d���un prestataire de service, on obtient un effet de levier en int��grant la s��curit�� �� m��me l���application, en pla��ant les contr��les de s��curit�� plus pr��s des donn��es. On s���assure ainsi d���une plus grande agilit�� et d���une meilleure convivialit��, en plus d���obtenir l���attention d���un grand nombre de gens sur la s��curit��.���� Michel Cusin : ����La s��curit�� de l���information ��tant une partie intrins��que de l���organisation, les gestionnaires de l���entreprise doivent aller chercher un minimum de formation en gestion de la s��curit�� et ��tre davantage conscients des menaces possibles auxquelles ils font face. Au niveau de la s��curit�� op��rationnelle, toutes les organisations ne poss��dent pas n��cessairement les comp��tences �� l���interne. Il est important de se concentrer sur les aspects de s��curit�� directement en lien avec le coeur des op��rations.���� Mars/Avril 2013 - Directioninformatique.com

Articles in this issue

Links on this page

Archives of this issue

view archives of Direction Informatique - Mars/Avril 2013