[Tribune] Gestion de la sécurité du SI : l'insoutenable légèreté du DSI et du Daf
Les responsables SI des entreprises manquent de moyens et d'appui en au sein de l'entreprise pour faire appliquer les mesures de sécurité informatique pertinentes. Dans la ligne de mire, les DSI et les Daf...
Les attaques actuelles profitent-elles de légèretés humaines dans la gestion de la sécurité du SI? C'est la question de fond que nous nous posons depuis des mois devant tant d'attaques réussies dans tous les secteurs économiques et tous les pays (particulièrement dans les pays dont l'économie est développée).
Sensibilisation et responsabilisation de l'ensemble des utilisateurs de l'entreprise, traçabilité des opérations des administrateurs et utilisateurs à pouvoirs, protection avancée contre les malwares, audits de sécurité des applications, protection et monitoring des bases de données, sécurité renforcée des données et des applications dans le cloud, etc. Ce ne sont que quelques-unes des facettes du SI à couvrir sur le plan de la sécurité. Sans oublier le besoin urgent de renforcer les moyens des responsable de la sécurité des systèmes d'information, soit les RSSI (ou en anglais CISO), auditeurs internes et autres responsables de la sécurité opérationnelle. Il faut pour cela jouer sur différents leviers :
-renforcer les moyens matériels,
Lire aussi : "Les DAF, premiers acteurs de la protection contre les cyberattaques" : Benjamin Leroux (CLUSIF)
-les moyens de contrôle,
-les capacités de supervision et d'analyse constante de la sécurité,
-recruter, former et motiver des data-analystes.
-donner le pouvoir aux RSSI d'appliquer des pénalités strictes, autant en interne, à telle ou telle direction métier ne respectant pas, par exemple, le PSSI (Plan de Sécurité des Systèmes d'Information) de l'entreprise, qu'auprès de sous-traitants (mainteneurs, outsourceurs, call-centers, ah les call-centers avec leurs jeunes collaborateurs à forte ''mobilité externe'' et leur pouvoir d'accéder aux informations les plus sensibles des clients...).
Tout cela nécessite l'implication forte, énergique et constante dans le temps, de la direction générale de l'entreprise, qui doit donc y être sensibiliser...par le DSI ou le Daf
Récemment un bon ami, DSI d'une grande entreprise française dans le domaine des services, réalisant plus de 10 milliards d'euros de CA et plus d'un milliard sur le Net, me racontait, devant le choc de l'événement Gemalto - car c'est un choc pour des ingénieurs comme nous, pour qui Gemalto, ex-Gemplus, représentait un étalon en sécurité des données - qu'au sein d'une célèbre association de DSI de grandes entreprises françaises, peu de participants avaient entendu parler de l'affaire Target du début 2014, affaire de piratage et de vol de données personnelles de plus 100 millions de citoyens américains, laquelle a coûté son poste au PDG de l'entreprise !
Étonnante situation ! Nous sommes en 2015, les usages d'Internet explosent partout et pour tous, réseaux sociaux e-commerce, e-banking, plus que jamais le be''e'' or be eaten est l'obligation des entreprises classiques, et pourtant certains grands DSI de belles entreprises françaises ne sont pas au courant de cet événement, qui avait fait les titres de la presse informatique et généraliste ?! Ont-ils entendu parler du hacking, cyber-sabotage et vol de données ayant frappé Sony Pictures récemment ou même actuellement de Gemplus ? Ce n'est que récemment que cette même association française a lancé un chapitre Sécurité SI ! Mieux vaut tard que jamais, mais quand même....
Même France 2 dans son journal urbi et orbi de 20h parle régulièrement cyber-sécurité... et récemment RTL a même interviewé le président du CESIN, principale association professionnelle des RSSI, qui comme le CLUSIF et le CRIP, tente de fédérer, informer et sensibiliser les directions informatiques des entreprises et administrations aux dangers de la Toile.
A chaque événement, à chaque sinistre plus ou moins retentissant, plus ou moins destructeur, le constat est le même : manque de sensibilisation, laxisme dans l'application des politiques de sécurité, absence des contrôles, etc., etc.
Le problème se situe donc au niveau de la sensibilisation des DSI et des Daf qui, tous ne prennent pas la mesure des risques et n'allouent pas ensuite les ressources financières nécessaires et par conséquent, n'exercent pas un relais auprès de leur direction générale et des mandataires sociaux qui, eux sont légalement et pénalement responsables des éventuels sinistres.
Heureusement que depuis la nouvelle loi de programmation militaire LPM, les entreprises ont l'obligation de faire remonter les incidents auprès de l'Agence Nationale de Sécurité des Systèmes d'Information, pour qu'elle puisse les recouper avec d'autres attaques, intervenir en renfort et par la même occasion informer le grand public et les entreprises des événements de sécurité, de piratage des acteurs économiques.
Nous vivons donc dans un grand laxisme sur ces sujets de sécurité, doublé d'un déficit de sensibilisation aux dangers, aux risques courus par les utilisateurs, en entreprise ou dans la vie privé. Dangers et risques impactant potentiellement chaque moment de la vie, car un vol d'identité, un piratage de comptes bancaires, une campagne d'espionnage d'une entreprise peuvent causer des dégâts irrémédiables. Du pain sur la planche pour les avocats !
L'auteur
Théodore-Michel VRANGOS
Cofondateur et président d'I-TRACING, entreprise de conseil et ingénierie entièrement dédiée à la traçabilité de l'information et à la gestion de la preuve. Ancien Président de Cyber Networks, aujourd'hui BT France, qu'il avait fondée avec Laurent Charvériat, Théodore-Michel Vrangos a démarré sa carrière en tant que IT Business Manager au sein du Groupe Générale des Eaux (Vivendi) à Paris.
Sur le même thème
Voir tous les articles Risques