Economie

Un temps d'avance. Investir autrement en matière de sécurité informatique

Un temps d'avance.

Il est relativement aisé de convaincre une direction générale de réaliser des tests de pénétration de systèmes informatiques (que certains dénomment audit ou encore ethical hacking) afin d'en montrer des vulnérabilités potentielles. Le résultat est sans surprise et facilement accessible: des vulnérabilités existent, elles sont le plus souvent connues et des outils d'exploitation des failles sont à la portée de tout un chacun ou presque. Il n'est donc pas nécessaire de payer pour ce que l'on connaît déjà!

Dans le cadre d'une démarche sécuritaire, la plus-value apportée par des tests de vulnérabilité enfantins, automatisés et sans interprétation professionnelle des résultats, est souvent relativement faible pour l'entreprise qui l'a commanditée. Elle est plus intéressante pour celui qui l'a vendue que pour l'acheteur, car la dimension spectaculaire de la démonstration de l'intrusion est génératrice de peur et déclenche le réflexe d'achat en matière de sécurité. Même si cela contribue à sensibiliser aux problématiques de sécurité, vendre de la sécurité basée sur la peur n'est pas le meilleur moyen de réaliser une protection efficace et efficiente des actifs de l'organisation. Cela répond plus à une logique commerciale qu'à une logique de maîtrise des risques ou de gouvernance de la sécurité.

Combien d'entreprises ont-elles fait les frais de tests de pénétration sans pour autant avoir par la suite acquis la compétence interne leur permettant de maîtriser, sur le long terme, leurs risques? Est-il plus judicieux d'investir dans la compréhension des risques, afin que l'entreprise puisse acquérir les moyens de diriger elle-même sa sécurité, plutôt que dans des actions ponctuelles de tests d'intrusion?

Comment encore ignorer la dimension transversale de la sécurité et son rôle fondamental et critique pour la compétitivité et la pérennité de l'organisation? Comment dans un contexte de guerre économique peut-on externaliser la sécurité informatique? La perte de contrôle, consécutive à l'externalisation, introduit de nouveaux risques occultés et non maîtrisables. Le remède est alors sans doute pire que le mal. Mais soyons francs, le marché de la sécurité est extrêmement juteux, d'autant plus qu'il est sans fin!

Il est grand temps de fournir aux dirigeants des indicateurs des risques informationnels pertinents, pour diriger, en toute connaissance de cause, leur sécurité en fonction de leurs exigences stratégiques. Des indicateurs pour améliorer la sécurité doivent fournir des informations mesurant la pertinence, l'efficacité, l'efficience des processus de gestion de sécurité afin de contrôler et de maîtriser les processus en place.

Le résultat des tests de pénétration de systèmes fournit uniquement des indicateurs sur des possibilités d'exploitation de failles techniques. Ils ne permettent pas de répondre à l'exigence d'amélioration de la sécurité, du fait que l'indication donnée est statique (une photographie du système informatique à l'instant) alors que le contexte des risques est évolutif et que la gestion de la sécurité nécessite de l'appréhender sous forme de processus dynamique. En effet, la sécurité n'est pas exclusivement une affaire technique!

Le transfert du traitement du risque informationnel et de la sécurité, ne relève pas d'une stratégie mais correspond à un défaut de responsabilité des dirigeants et des intermédiaires techniques (fournisseurs de produits et services). La dépendance à des entités non contrôlables et non transparentes (outils, mesures, tierces personnes) est préjudiciable à la finalité de la sécurité.

Ne laissons pas les entreprises se déposséder de leur mission première qui est de dégager du profit, soyons attentifs à investir au mieux en matière de sécurité et peut-être différemment afin que les entreprises soient réellement maîtresses de leur sécurité informatique. Il est de la responsabilité des experts en sécurité de donner les moyens aux dirigeants de maîtriser leur infrastructure business en leur permettant de répondre entre autres aux questions:

Faut-il engager des ressources considérables pour réaliser des tests d'intrusion ou est-il plus rentable d'investir dans une démarche formelle de réduction des impacts des risques liés à l'usage des technologies de l'information? Quel est le retour sur investissement le plus rentable sur du long terme? La sécurité passe par la confiance et la confiance n'exclut pas le contrôle.

Publicité