Tout en étant de plus en plus dépendantes de leurs systèmes informatiques, nombreuses sont les entreprises qui peinent à sécuriser leurs infrastructures TI et à se conformer aux lois et règlementations dans leurs industries respectives. Mauvaise gestion ou manque de volonté ?
Benoit Renaud, associé et conseiller de direction chez CGI, soutient que les défis sont nombreux lorsque vient le temps, pour les entreprises, de sécuriser leurs infrastructures TI.
Citant le 2010 Data Breach Investigations Report, une étude menée par le fournisseur de services de télécommunications Verizon en collaboration avec les services secrets des États-Unis (USSS), qui vise à brosser un portrait annuel des cyberattaques contre les organisations à travers le pays.
Ainsi, selon le rapport, 85 % des cyberattaques n’étaient pas considérées comme hautement difficiles à réaliser, 79 % des victimes n’avaient pas atteint la conformité, 61 % des brèches de sécurité ont été découvertes par des tiers et, plus préoccupant, 96 % des violations auraient pu être prévenues par de simples contrôles.
« Cette dernière statistique est ma source de motivation. Comment est-ce possible d’en être encore là ? », se questionne M. Renaud, qui a prononcé sa conférence à l’occasion des Rendez-vous de la sécurité de l’information, qui ont eu lieu les 28 et 29 mars à Montréal.
Les défis
Selon M. Renaud, si les organisations sont de plus en plus dépendantes de l’informatique, ce la ne signifie pas qu’elles ont des stratégies qui facilitent le positionnement des TI dans l’atteinte de leurs objectifs d’affaires, notamment au niveau de la sécurité: « Les investissements sont réalisés dans un objectif de développement et d’augmentation du chiffre d’affaires », dit-il.La conformité en entreprise est aussi mise à mal. Les organisations peuvent adopter une multitude de normes qui s’adressent à différentes audiences (comptabilité, vérification, sécurité…). « Le défi est donc d’éviter le cloisonnement. Même si les normes s’appliquent à différents groupes dans une organisation, il est possible de faire en sorte qu’un contrôle pour une norme soit également valable pour une autre. Sinon, ça mobilise trop de ressources et ça coûte plus cher », dit-il.
Évidemment, la sécurité des TI et gestion des risques doivent être étroitement liés. Il ne sert à rien, par exemple, de protéger un actif qui vaut moins cher que les contrôles mis en place pour le sécuriser.
« Le défi de la gestion des risques est de faire connaître ces risques à l’intérieur de l’organisation, à tous les niveaux. Par exemple, on a présenté le spectre de la non-conformité à la norme PCI (
Toutes ces problématiques ont pour effet le non-alignement entre les efforts de sécurité et les besoins d’affaires. Le résultat est que bien souvent, les équipes de direction offrent peu de support aux initiatives de sécurité et de conformité.
« Le service informatique (et de sécurité) d’une entreprise ne doit plus jouer qu’un rôle de fournisseur de services, mais doit plutôt accompagner l’entreprise dans la formulation de sa stratégie d’affaires dès le départ », dit-il.
Pour remédier à la situation, Benoit Renaud soutient que les organisations doivent d’abord évaluer leurs forces et leurs faiblesses afin de se créer une feuille de route. Les investissements en TI, peu importe qu’ils soient réalisés au niveau de la sécurité ou de la conformité, devraient également faire partie d’un plan de réalisation des bénéfices et avoir une valeur affaires, une valeur risque et une valeur financière pour l’entreprise selon la formule Valeur = affaires – risque + financière.
