Lettre d’information

Lutte contre la cybercriminalité N°7 – avril – mai 2013

Édito

Le 28 février 2013, le gouvernement a présenté sa feuille de route dans le domaine du numérique (cf. cet article). Un exemple – s’il en fallait encore un – qu’il ne s’agit plus pour les entreprises de renforcer leurs systèmes, mais d’avoir mené en amont une analyse de risques qui garantie la protection de la vie privée. Ne soyons pas naïfs, c’est un mouvement de fond ! Désormais, ni la conformité à l’ISO 27002, ni la sacrosainte politique de sécurité des systèmes d’information ne sauraient protéger les dirigeants d’une éventuelle mise en cause pour négligence en cas de divulgation des données. Le best effort d’hier (tendre vers une conformité) suffisait peut-être, mais sous la pression de l’opinion, la tolérance zéro (maitrise des risques) est de rigueur. J’en veux pour preuve les nouvelles initiatives législatives et sectorielles ayant en commun la réalisation préalable d’analyses des risques : le RGS qui s’applique aux autorités administratives, le standard PCI-DSS qui s’impose dès qu’il s’agit des données de porteurs de cartes de paiement, ou encore le nouveau règlement européen sur la protection des données à caractère personnel, qui s’imposera à toute entreprise publique comme privée.

Le ton a été donné. Il n’est plus question seulement de vous imposer des moyens à mettre en place, mais bien d’exiger une maitrise des risques. Alors, face à cette nouvelle donne, comment un dirigeant (ou son RSSI) peut-il assumer sa responsabilité ? Le marché répond par une avalanche de catalogues (les 40 règles d’hygiènes de l’ANSSI, le guide de bonnes pratiques de la CNIL, le décret des hébergeurs de santé, etc.). Plus ou moins cohérents, ils sont voués à l’obsolescence compte tenu de la rapidité des évolutions technologiques et des menaces. EBIOS et Mehari peuvent aider à y voir plus clair visant une approche par les risques. Ces deux guides représentent des initiatives louables, mais ils leur manquent l’essentiel : la compétence et l’expérience.

Alors que faire ? Vous faire assister d’un professionnel de la gestion du risque me parait incontournable. Lui seul aura la légitimité et la vision globale. En interne, les risk managers ou les qualiticiens peuvent être de bons candidats. L’objectif est d’animer une démarche de gestion des risques dans une perspective d’ensemble, puis d’opérer un délicat arbitrage quant aux priorités, à l’utilisation des ressources de l’entreprise et aux conséquences potentielles de ne pas renforcer votre système.

Jean Olive
Senior Manager CGI Business Consulting