La relative accalmie qu’offre la période des vacances estivales permet de faire plusieurs choses qu’on n’a pas le temps de faire autrement, comme de réévaluer la stratégie de sécurité informationnelle de l’entreprise.
Ça y est, le temps des vacances est arrivé! Évidemment, pas pour tout le monde, parce que si vous êtes en train de lire ces lignes, c’est probablement parce que vous n’êtes pas en vacances, tout comme celui qui est en train de les écrire… soit que vous les avez déjà prises, soit que vous allez bientôt les prendre. Nombreux sont ceux qui prennent leurs vacances estivales durant cette période de l’année, en même temps que le secteur de la construction. Les plages et les terrains de camping sont bondés, autant que les bureaux sont déserts et prennent des airs de batture à la marée basse… C’est un peu comme si la vie trépidante des organisations, ponctuée d’un feu roulant de situations urgentes et de problèmes devant être résolus rapidement, prenait une pause bien méritée, le temps que les employés fassent le plein d’énergie (solaire, il va sans dire…).
À moins d’oeuvrer dans l’industrie récréotouristique, les affaires tournent généralement au ralenti durant cette période de l’année. Cela procure de nombreuses opportunités aux responsables des technologies de l’information restés en poste. Comme celles de pouvoir s’occuper des dossiers dont on n’a jamais le temps de s’occuper en temps normal, parce qu’on oeuvre dans une petite organisation aux effectifs réduits et que la majeure partie de notre temps est consacrée à l’extinction des feux. Du temps pour s’occuper des dossiers tels que les orientations stratégiques en matière de sécurité.
Or, il appert que la sécurité informationnelle est généralement un aspect négligé de la gestion des TI, du moins plus que les aspects reliés aux ventes et au développement de la clientèle. Probablement parce qu’il n’y a pas de retombées directes des sommes investies en sécurité – cela ne génère pas davantage de revenus -, pas plus qu’il n’y a de garanties que l’investissement permettra d’éviter une catastrophe imminente, auquel cas l’investissement serait amplement justifié, et – surtout – qu’il y a une croyance persistante, partagée par plusieurs, voulant que les accidents arrivent toujours aux autres. Cela est d’autant plus vrai au sein des petites et moyennes entreprises qui, en raison de leur petite taille, se croient en dehors du champ de mire des pirates et des cybercriminels, nous apprend une étude nord-américaine publiée cette semaine par McAfee, intitulée « Does Size Matter? » et qui souligne le laxisme des PME au chapitre de la sécurité informationnelle. « Nous ne sommes qu’une petite entreprise de 15 employés; personne ne cherchera à paralyser nos systèmes ou à nous voler des informations », se disent les dirigeants de ces entreprises.
Mais ils ont tort : nul n’est à l’abri de la malveillance des pirates et encore moins de la négligence des employés « bien pensants » et on ne parle même pas de l’espionnage industriel. Outre les virus qui frappent indistinctement, il y a des attaques automatisées qui visent tous serveurs branchés à Internet. De plus, par leur comportement en apparence bénin, certains employés peuvent entraîner des pertes d’information importante, voire des pannes de systèmes prolongées. Pour une entreprise disposant de moyens restreints, les répercussions financières de ces incidents sont tout sauf négligeables.
Une protection efficace des systèmes d’information requiert une bonne dose de connaissances techniques et d’expertises en gestion des processus, ce qui n’est évidemment pas à la portée de tous les gestionnaires, et à plus forte raison si celui-ci est une sorte d’homme-orchestre aux responsabilités multiples et diverses. Parce que la sécurité informationnelle doit être une préoccupation de tous les instants, qui ne se limite pas à installer une solution et à passer à autre chose, ce qui est souvent le lot des organisations aux ressources limitées.
Dans ce cas, il importe de prendre le temps qu’offre cette période d’accalmie estivale pour se poser certaines questions et réévaluer la situation. L’approche adoptée jusqu’ici est-elle la bonne? Peut-être que l’entreprise n’a tout simplement pas les ressources suffisantes pour s’occuper elle-même de la sécurité de ses systèmes d’information et qu’elle aurait tout avantage à confier cette tâche à une firme externe compétente. Ou peut-être doit-elle redéfinir ses priorités informatiques et réassigner certaines de ses ressources à la sécurité informationnelle. Ou encore, peut-être serait-il préférable de faire héberger les systèmes d’information chez un impartiteur compétent, qui en assurerait de surcroît la sécurité.
Quantité d’options s’offrent à l’entreprise qui veut mieux protéger ses systèmes d’information. Suffit de prendre le temps pour réévaluer la stratégie de l’entreprise, à la lumière de ses besoins et de ses objectifs stratégiques. En cette fin de juillet, le temps est idéal pour se prêter à cet exercice. À vous de voir.
Alain Beaulieu est adjoint au rédacteur en chef au magazine Direction informatique.