Sécurité de l’information : l’approche par les risques

Le terme de transformation numérique est généralement associé aux impacts en termes de stratégie ou de management. Mais ce terme est moins souvent lié à la sécurité de l’information. Alors, justement, pour parler de ce sujet, Xerfi Canal a reçu Jean-Jacques Bureau, senior Manager responsable de l’offre « gestion des risques et sécurité » chez PEA Consulting, entité conseil d’Open.

En quoi cette transformation numérique augmente-t-elle vraiment les risques sécurité ?

Eh bien cette transformation numérique est synonyme de nouveaux risques liés aux menaces  de hackers toujours meilleurs ou de grandes organisations, officielles ou mafieuses, dotées de moyens financiers importants. Mais ce n’est certainement pas une raison pour se mettre à l’écart de ce système économique issu du numérique qui est en train de se construire.

Mais comment appréhender ces menaces sur la sécurité ? Je pense notamment aux plus petites entreprises.

Pour moi, la clé, c’est l’approche par les risques. Il faut que l’entreprise définisse précisément ses enjeux et ses risques pour ensuite autoriser ce qui lui semble acceptable, entre croissance et prise de risque. Cette approche par les risques est aujourd’hui suffisamment mature pour permettre aux décideurs de réaliser des choix avec rigueur et de profiter de la transformation numérique en parfaite maîtrise.

Où sont ces risques ? Sur quels points spécifiques faut-il réfléchir ?

Il existe aujourd’hui au moins quatre grands sujets de réflexion, plus ou moins avancée, parmi les Responsables de la Sécurité des Systèmes d’Information (RSSI). L’acronyme SMAC (Social Mobile Analytics Cloud) résume bien ces quatre sujets : il s’agit d’abord des réseaux sociaux, à travers lesquels des informations sensibles d’une entreprise peuvent être divulguées de façon malencontreuse ; de la gestion de la mobilité et les matériels utilisés dont le BYOD (Bring Your Own Device) ; Puis de l’analyse des données et notamment le Big Data et les technologies dites de Business Analytics; et enfindu cloud computing. Il faudrait même utiliser l’acronyme SMACS pour Social-Mobile-Analytics-Cloud Security dans la mesure où la sécurité est indissociable de ces nouveaux usages.

Pour bien comprendre, pouvez-vous nous donner un exemple ? Sur le Cloud par exemple…

Eh bien par exemple, lorsque la solution Cloud est externalisée, de nouvelles problématiques sont à traiter dans le management de sécurité : intégration de la sécurité dans les contrats, choix du prestataire (de confiance), mise en œuvre de moyens de contrôle chez le prestataire, localisation des données vis-à-vis du respect de la vie privée et de la protection des données personnelles. Nous remarquons dans les retours d’expérience qu’il n’est pas toujours facile de faire accepter ces clauses de sécurité qui pourtant sont exigées par la norme ISO 27001:2013 dans ses annexes.

Jean-Jacques Bureau, Sécurité de l’information : l’approche par les risques, une vidéo Xerfi Canal