Qui doit être responsable de la sécurité ?
On le dit tous les jours les cyberattaques se multiplient.
Les méthodes évoluent. Les pirates informatiques semblant de ne plus avoir d’obstacle. Au sein des organisations en particulier les entreprises, malheureusement il n’a pas encore été défini de manière claire et précise qui sera responsable de la sécurité informatique. D’un côté, les directeurs de systèmes d’information, de l’autre, le responsable de sécurité de système informatique et encore le responsable réseau.
Cet article va aussi vous intéresser : Cybersécurité : les employés surchargés du secteur peuvent être des vulnérabilités
Ce qu’on peut retenir, c’est qu’avant tout la gestion de la sécurité était une affaire de réseau de manière globale. Avant d’ouvrir un port sur le réseau d’une entreprise on se permettait de le sécuriser grâce à des parfums ou tout autre méthode de protection. Cependant, avec l’évolution des entreprises ainsi que du contexte de la menace informatique, les enjeux en matière de sécurité vont se trouver et totalement bouleverser. En effet les attaques informatiques deviennent plus nombreuses, et les collaborateurs de plus en plus exposés et très sensibles à cette problématique.
« Dans ce cadre, la sécurité informatique a évolué et les entreprises ont dû ajouter à leur dispositif des strates de contrôles supplémentaires, mettre en place des mesures de sécurité spécifiques aux processus de l’entreprise, aux projets… », s’exprime Tangi Le Boucher, expert sécurité au sein d’Enioka Consulting. « Et là, encore, la problématique de gestion de la sécurité consiste à sécuriser le réseau de l’entreprise plus finement. Plus de complexité implique des responsabilités réparties. « Avec la complexification des SI des entreprises, la cybersécurité, elle aussi, a dû se réinventer dans l’entreprise. », ajoute ce dernier.
Aujourd’hui, la notion de sécurité il fait appel à plusieurs catégorisations de spécialité. Ce n’est plus quelque chose de simple et toute personne composant l’entreprise à d’une manière ou d’une autre son sens de responsabilité.
« Face à cette complexification grandissante, même si historiquement la cybersécurité d’une entreprise était fortement portée par le réseau, aujourd’hui celle-ci se doit d’être plus uniformément répartie entre les différents responsables IT. Ce qui peut nécessiter de la part des entreprises de faire évoluer leur organisation vers une vision et un pilotage plus global de la cybersécurité. », note Tangi Le Boucher. « En effet, selon les exigences de sécurité, qu’elles soient déterminées par l’entreprise ou réglementairement, selon aussi les compétences, les appétences et la « culture » sécurité des équipes IT, il peut être nécessaire pour l’entreprise de diluer de façon plus ou moins importante les responsabilités « sécurité » entre la mise en œuvre des mesures de sécurité et les différents niveaux de contrôles de leur bonne mise en œuvre. Par exemple, si l’on prend le secteur de la banque, la cybersécurité ne peut se penser qu’en termes de responsabilités partagées : sécurité du réseau, mise en œuvre des mesures, contrôles de la bonne mise en œuvre des mesures, contrôles des contrôles… », ajoute ce dernier.
De plus, une entreprise évolue de plus en plus par rapport aux objectifs qu’elle s’est fixée. Et c’est toute une réglementation qui s’en trouvent bouleversé ou modifié.
« Une dilution de la responsabilité « sécurité », oui, mais dans la transparence Aujourd’hui, ce que l’on peut observer sur cette problématique est que, quelle que soit la taille de l’entreprise, les responsabilités doivent être partagées. Et c’est d’autant plus vrai pour les PME qui ne peuvent pas disposer d’équipes « King Size » de sécurité. Il va être donc très important de bien répartir les tâches et les responsabilités. Concrètement, la sécurité reste une affaire de risques à couvrir mais elle dépend aussi de la culture « sécurité » de l’entreprise. », note le spécialiste.
Aujourd’hui, on peut le dire sans crainte, l’une des solutions pour ce qui concerne la responsabilité en matière de sécurité est la dilution. Pour ce faire, il faudrait que les charges soient réparties de manière claires et précises. Dès le départ tous les acteurs qui interviennent dans le développement du système informatique ou dans son utilisation et c’est que ça modification sachent parfaitement le rôle qu’ils doivent jouer. « Une fois cela mise en place précisément, chacun sait ce qu’il a à faire et son champ d’intervention est précis et respecté des autres responsables sécurité. Ce qui n’empêche bien évidemment pas la collaboration entre les différentes équipes. », conclu Tangi Le Boucher.
Accédez maintenant à un nombre illimité de mot de passe :