© A.M Rouzere

A Monaco, le rendez-vous annuel des professionnels de la sécurité informatique s’est ouvert sur un vibrant appel à plus de transparence de la part des entreprises.

Un guichet unique: nous en rêvions, vous l’avez, maintenant usez-en. Tel est, en substance, le dessein de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) née en juillet dernier, qu’est venu présenter son directeur Patrick Pailloux, en ouverture des Assises qui réunissent les professionnels de cette discipline, du 7 au 10 octobre à Monaco. Un propos qui sonne aussi comme un rappel à l’ordre pour les entreprises.

Certes, en matière de protection des systèmes et réseaux, la continuité de la dépense en équipements (+14% en logiciels et matériels en 2008, selon les analystes du Gartner) et en services (+17% par an à l’horizon 2012 selon IDC), témoigne d’une certaine prise en compte du risque. Et l’effort de l’Etat va de pair, avec, comme l’avance Patrick Pailloux « un doublement prévu des effectifs de cette agence, de 120 à 250 personnes, d’ici à 2012». De quoi assurer ses fonctions de veille, d’alerte, de recommandation et de labellisation des solutions de sécurité.

Mais, le camouflage des difficultés, couramment pratiqué par les entreprises, continue de faire des ravages. Et de freiner d’autant la lutte contre la cybercriminalité et la diffusion des bonnes pratiques à laquelle se voue, notamment, cette nouvelle Agence de l’Etat. Sans compter que, paradoxalement, la «surmédiatisation» de certains aspects de cette lutte (autour des virus et autres malwares, par exemple) peut aussi servir de tremplin à de nouveaux types de malveillances (diffusion d’antivirus frauduleux, vente de réseau de machines zombies, piratages activistes, etc). «Trop d’information peut induire en erreur », rappelait Patrick Langrand, président de l’association des auditeurs en intelligence économique et responsable sécurité (RSSI) de la Poste lors de la session d’ouverture.

Les systèmes d’information, à la fois cible et outil

 A consulter le programme de ces Assises, l’omniprésence du risque et la multiplication des menaces, avec l’usage des mobiles ou des réseaux sociaux, ne sont pas sous-estimées par les hommes de l’art. Traçabilité, filtrage, sécurisation orientée métier, architecture de sécurité… les parades s’adaptent. Y compris au niveau méthodologique. Selon Régis Delayat, directeur des systèmes d’information du groupe de réassurance Scor, la crise financière –et la mise en cause du contrôle interne qu’elle a suscitée- n’ont fait que renforcer la nécessité de sensibiliser l’ensemble des décideurs et managers (de la direction générale au responsable métiers) en tant qu’acteurs du risque. «Le contrôle interne est devenu le grand gestionnaire des risques», martelle ce DSI, tout en insistant sur les arbitrages constants entre le coût et l’efficacité des mesures prises qu’appelle cette gestion au plus près du terrain (principe de granularité). Du coup, source majeure de vulnérabilité, les systèmes d’information sont aussi l’outil et le moyen de plus en plus crucial d’intégrer systématiquement le contrôle dans les rouages (les processus) de chaque métier de l’entreprise. Y compris –charité bien ordonnée pour la DSI- par un pilotage bien conscient des risques de chaque projet informatique.

 C’est précisément dans ce sens qu’ont été orientés les travaux conjoints du Cigref (club des DSI) et de l’Ifaci (club des auditeurs) avec la publication, en avril dernier, d’un guide opérationnel (checks lists, typologie des risques et des acteurs, etc) à l’usage des entreprises. Une démarche illustrée, en fin de première journée des Assises à Monaco, par sa mise en œuvre chez Scor.

Anne Marie Rouzeré

En savoir plus

  Les missions et les moyens de l’Anssi (agence nationale de la sécurité des systèmes d’information)

L’Anssi recrute des experts

L’initiative du Cigref –et la démarche de Scor- en matière de contrôle et de gestion des risques (présentée aux Assises de la Sécurité 2009)