paperJam novembre 2007

Page 192

Bloc Notes · Case study

Les aspects de sécurité informatique sont-ils uniquement du ressort des départements IT, ou bien doivent-ils entrer en ligne de compte dans la stratégie globale d’une entreprise?

«Il faut solliciter les métiers concernés (Risk Manager et RSSI) dès le démarrage du projet».

Denis Stoz Country Manager Bull Luxembourg

Parler a ceux qui assument le risque de la securite «Il n’existe pas de définition précise pour les fonctions de Risk Manager (RM) ou Responsable de la Sécurité des Systèmes d’Information (RSSI), mais il y a une définition différente selon le métier de l’entreprise ou son orga­ni­sation. Le Risk Manager assure l’identification et la gestion des risques à l’échelle de l’entreprise. Le RSSI, lui, assume la même mission au niveau des systèmes d’information. L’un comme l’autre appuient leurs travaux sur une définition et une évaluation rigoureuse des risques de l’entreprise. RM et RSSI se rejoignent sur la gestion des risques liés au système d’information, essentiellement sur quatre axes: disponibilité, intégrité des données, confidentialité et traçabilité des opéra­tions. Si l’un de ces éléments devait être affecté, il y aurait un risque à la fois pour l’entreprise et ses clients. Les systèmes d’information étant très hété­ rogènes, les risques qui y sont liés sont difficiles à identifier et à gérer. Idéalement, il faudrait inté­ grer leur problématique dès le dévelop­pement des projets en y incluant les expertises spéci­fi­ ques à l’activité ainsi qu’aux réglemen­tations. Pour la maîtrise de ces risques, RM et RSSI doi­ vent conjuguer leur savoir-faire pour arriver ensemble à la définition à la fois des méthodes d’identification et d’évaluation des ris­ques (hié­ rarchisation, par exemple) ainsi qu’aux solutions de maîtrise des risques à mettre en place. Ce faisant, il apparaît clairement que la problématique de la sécurité informatique sort du cadre exclusif des départements informa­ tiques. C’est pourquoi, chez Bull, nous inté­ grons l’ensemble de la démarche Risk, mais également Compliance, pour la mise en œuvre de nos solutions de sécurité (essentiellement de gestion d’Identités et d’Accès – IAM, ainsi que les fonctionnalités d’audit). Et en conséquence, nous sollicitons la participation des métiers concernés dès le démarrage du projet�� ».

«La sécurité de l’information est avant tout une notion d’objectif à intégrer dans l’organisation et la culture de l’entreprise».

«La sécurité sur Internet doit être considérée par l’entreprise comme un impératif stratégique».

Francy Lutgens Leader IMT Benelux IBM Internet Security Systems Yves De Pril General Manager Conostix

Cap sur la sensibilisation des employes

Les entreprises ont besoin d’une approche strategique pour la securite

«75% des incidents sécurité sont d’origine humaine. Erreur, ignorance ou mauvaise intention, toute personne agit sur base de ce qu’elle sait. Ce comportement naturel peut être fun­ este pour la sécurité, peu importe les sommes investies dans les technologies. La sécurité repose sur trois piliers: prévention, détection, réaction. D’entre eux, la prévention par les moyens technologiques genre firewall, antivirus ou autres, est le plus fréquent, mais également le plus coûteux. En effet, maintenir l’efficacité des systèmes de protection est laborieux dans un monde informatique en constante évolution. La détection est souvent un moyen mis en place mais rarement valorisé: qui gère un suivi des évènements suspects? Finalement, une réaction adéquate aux incidents détectés évitera que des événements d’apparence banale ne se transforment en danger pour l’entreprise. Le risque ne s’élimine plus – ou du moins pas entièrement – par la technologie. Il y a dix ans, nous prenions en main la sécurité des réseaux, puis l’importance d’Internet dans le business est devenue telle que nous avons considéré la vulnérabilité des applications Web. A ce jour, les deux sont bien couverts mais nous n’avons jamais été autant sous la pression des attaques. Des menaces comme le phishing ont déplacé le danger du périmètre de l’entreprise vers l’employé. Il est nécessaire que les organisations prennent leurs responsabilités et sensibilisent leurs collaborateurs au pourquoi et au comment d’une utilisation sécurisée de l’e-mail, l’e-banking et l’e-commerce. Rendez-vous sur www.cases.lu, le site de sensibilisation mis en place par le ministère de l’Economie et du Commerce extérieur: vous y trouverez toutes les bonnes pratiques pour que votre informatique soit utilisée de façon optimale et sécurisée».

«De nos jours, Internet est un véritable moteur pour les entreprises. Sa sécurité est donc essentielle à leur succès. La sécurité sur Internet influence la manière dont les entreprises gèrent leurs réseaux internes, intègrent les nouvelles technologies et applications et respectent les nouvelles dispositions légales et les normes sectorielles – alors que la variété et la complexité des menaces ne cessent d’évoluer. Le simple fait d’étendre la myriade de solutions de sécurité ponctuelles, tactiques et ‘réactives’ n’est pas envisageable. La sécurité sur Internet doit être considérée par l’entreprise comme un impératif stratégique. L’objectif consiste à aligner des technologies de sécurité proactives efficaces au sein d’une plate-forme intégrée, offrant une protection globale (serveurs, réseaux, postes de travail), évolutive, assurant une veille décisionnelle et permettant une gestion centralisée simplifiée. La sécurité Internet touche pratiquement tous les aspects de la gestion de l’entreprise, de la migration technologique et de la croissance commerciale. Les managers doivent exiger une sécurité efficace et gérable et envisager son rôle dans un contexte plus étendu et plus stratégique. La sécurité Internet stratégique efficace garantit une protection professionnelle et permet aux entreprises d’étendre leurs réseaux sans interruption ou perte de bande passante. Pour cela, il faut mettre en œuvre une plateforme intégrée basée sur les vulnérabilités plutôt que sur les attaques. Par définition, une plate-forme permet à une technologie d’évoluer sans dégradation des performances ou augmentation significative de la complexité ou de la gestion. Elle remplit trois conditions essentielles: empêcher les pertes commerciales liées à des problèmes de sécurité, faciliter l’évolution des technologies et garantir la protection grâce à des services de sécurité ‘à la demande’».

192 PAPERJAM NOVEMBRE 2007

09_3_case study.indd 192

15/10/07 16:14:04

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.
paperJam novembre 2007 by Maison Moderne - Issuu