Close
  • Français
  • English

29/04/2013La SSI vers un chemin lumineux [Par Gérard Gaudin, G2C et R2GS]

Dans l’édito de la dernière Newsletter du FIC, Hervé Schauer a dressé un panorama peu réjouissant du domaine de la sécurité, en motivant son point de vue par la focalisation trop exclusive de la profession sur des produits souvent très imparfaits et par la négligence criante du facteur humain pourtant essentiel. Bien que partageant assez largement ce constat qui est exprimé de manière récurrente depuis un ou deux ans par nombre d’acteurs de tous horizons, je voudrais par le présent billet essayer de tracer quelques pistes pouvant permettre de remédier solidement à cette situation.

Le domaine de la sécurité souffre de plusieurs maux bien connus : domaine d’experts pointus à dominante technologique aux concepts souvent mal compris des autres fonctions de l’entreprise, secret entourant les menaces relatives au « cyber » qui restent difficiles à bien cerner dans leur amplitude, progrès difficiles à démontrer et à valoriser. Cette situation qui perdure depuis des décennies semble ne pas vouloir évoluer, et pourtant il se pourrait bien que l’histoire ne se répète pas indéfiniment, sous l’effet conjugué de plusieurs facteurs récents : reconnaissance générale au niveau des dirigeants du business et de la politique du grave problème posé par le pillage des ressources immatérielles constituant la richesse des organisations, début de transparence avec la déclaration publique progressive des sinistres graves les affectant démontrant le lien entre les thèmes sécurité et l’impact business, initiatives aux Etats-Unis et en Europe destinées à développer des référentiels pratiques visant à une efficacité en matière de protection prouvable rapidement, mise en œuvre concrète pour la 1ère fois d’approches de benchmarking des résultats et non plus seulement des moyens.

Illustrons les 2 derniers points par une initiative française et européenne récente visant à soutenir les entreprises dans leur mise en mouvement. Je veux parler du réseau Européen de Club R2GS dédié aux thèmes Cyber Défense et SIEM (France, Royaume-Uni, Allemagne, et d’autres pays européens prochainement), et des nouveaux standards ETSI développés sur la base des travaux de ce réseau et en coordination avec l’ISO et l’ITU (indicateurs, modèle de classification d’événements, maturité, tests, …). Cette avancée mondiale substantielle reconnue récemment par l’ISO JTC1 SC27, complémentaire des avancées américaines et mise en œuvre par nombre d’organisations en Europe, leur a d’ores et déjà permis de :

[list style=’check’]
[list_item]Développer un lien précis entre incidents techniques et profils de risques d’entreprise (et donc décloisonner la SSI et mieux communiquer avec la Direction Générale),[/list_item]
[list_item]Prendre des décisions sur la base de chiffres fiables (incidents et vulnérabilités) et se benchmarker précisément,[/list_item]
[list_item]Et ainsi mieux utiliser et mieux mettre en perspective les apports des différents outils techniques et des équipes opérationnelles en SSI.[/list_item]
[/list]

Voilà bien quelques motifs d’espoir pour infléchir les tendances à la morosité et au découragement souvent perceptibles aujourd’hui au sein de notre profession.

Par Gérard Gaudin, Consultant indépendant G²C et Président du Club R2GS