Suite et fin de l’entretien !
Merci encore à eux de s’être prêté au jeu.
Plus globalement, vous êtes des spécialistes de la sécurité de l’information. Le sujet est à la mode en ce moment mais les difficultés n’ont toujours disparues, loin de là. Quels sont les principaux obstacles que vous devez affronter au quotidien pour faire avancer la question de la sécurité dans les entreprises ?
Hadi
« La sécurité de l’Information pâtit d’un déficit de communication entre les différentes parties prenantes dans l’entreprise. Il en découle de grandes difficultés dans le positionnement de la profession, sa légitimité, sa capacité à « parler sécurité dans le langage des métiers », son aptitude à valoriser le retour sur investissement, sa capacité à attirer, fédérer et fidéliser les expertises et les talents au service d’un objectif commun, … et la liste est longue ! Il ne faut pas se leurrer : le problème n’est pas d’ordre technique ou technologique, il est d’ordre humain ! »
Diane
« C’est marrant que vous parliez de « mode »…. si je pense que la Sécurité avait besoin d’un effet booster pour qu’on l’évoque au journal de 20h ou dans les Quotidiens nationaux, je pense que les professionnels de la Sécurité doivent veiller à ne pas tomber dans le piège de « l’effet marketing » de la Sécurité. Que ce soit le BYOD ou le Cloud, ces sujets ne sont pas si nouveaux que ça, et ça ne doit pas être l’arbre qui cache la forêt…. à savoir les problèmes liés aux fondamentaux de la Sécurité.
Je pense que la Sécurité de l’information souffre d’une crise, mais certainement pas d’un manque d’innovations et de technicité. Il faut s’en réjouir, ce n’est pas le cas de tous les secteurs 😉 Là, où le bât blesse, c’est sur la partie beaucoup moins sexy de la Sécurité, là où l’ingénierie brille beaucoup moins. Et évidemment, en découlent les blocages suivants dans les organisations:
– L’absence d’une Gouvernance et d’une Organisation de la sécurité rationalisée : Elle n’est actuellement pas pensée pour être effective et efficace. Soyons clair, une DG non consciente des enjeux liés à son patrimoine informationnel + le service SSI placée sous la rubrique « fonctions support » dans les Excels de gestion et de compta des entreprises (et donc synonymes de coûts) + un RSSI placé sous la DSI ou autre + 80% d’utilisateurs qui abandonnent la lecture de leur charte utilisateur au bout de 5 lignes parce qu’ils ont déjà buggé sur les mots « hoax », « serveurs », « actif sensible » et « VPN » = Un résultat peu probant ; et ça, même le plus fabuleux des outils ni même le plus consciencieux des RSSI n’y pourra rien.
– Les pré-requis de la sécurité systématiquement bafoués : Une maison sans fondation, ça peut tenir longtemps mais à la première tempête, ça s’écroule.
– Une vision en silos destructrice de valeur ajoutée : Il est temps de faire tomber les murs, et que les professionnels de la Sécurité de l’Information parle avec les professionnels de la Stratégie, les juristes, les professionnels de la sécurité des biens et des personnes, les responsables de la continuité, les lignes métiers, et bien d’autres.
Pour embêter le monde ? Non, mais pour chercher de la cohérence dans tous nos référentiels, rationaliser la sécurité, être conscient de son environnement et faire place au pragmatisme, afin d’éclairer le chemin du dirigeant, et ainsi de l’ensemble des collaborateurs à qui il est censé montrer l’exemple.
N’oublions jamais qu’à côté de la SSI, d’autres fonctions remontent au dirigeant d’autres préoccupations… tout aussi légitimes.
Je pense que la sécurité de l’information en France cherche encore son modèle économique. Les différents acteurs et décideurs commencent à effectuer le constat que la sécurité est devenue nécessaire aux métiers, mais la relation entre les clients et les offreurs dans sa globalité est restée jusqu’à présent dans une tradition très informatique. »
Quels sont vos espoirs pour 2013 ? Comment voyez-vous évoluer notre profession (qui regroupe tellement de métiers différents) ?
Diane
« Si la question porte sur 2013, il faut des espoirs à prise rapide, alors ? 😉
Un espoir pour la Sécurité de l’Information? Que les fondamentaux reprennent la place qu’ils méritent, qu’on fasse preuve de bon sens quand on assoit une stratégie de sécurité, et qu’on mette en place de véritables sensibilisations. Cela a une vertu: Quand le bateau tangue, on peut être serein face aux choix qu’on a pris…
La sécurité de l’Information renvoie à de nombreuses disciplines et j’espère que l’accélération des échanges entre toutes ces compétences comme initié en 2012 fera naître une gouvernance cohérente et rationnelle.
Le 13 aidant, j’espère tout simplement que l’année sera celle d’un effet papillon positif de la Sécurité… »
Hadi
« Nous percevons un amorçage de changement de paradigme, très timide mais très prometteur en même temps. Plusieurs initiatives fleurissent pour améliorer cette communication au service d’une meilleure gouvernance. Elles commencent à bénéficier d’un écho favorable auprès de certains décideurs et de certains responsables métiers, il faut que les RSSI emboîtent le pas et se laissent tenter par ces approches innovantes. Le foisonnement normatif et réglementaire va également faire bouger les lignes mais attention à la compétition des normes et à l’incapacité de cerner précisément le cadre juridique, réglementaire et normatif auquel l’entreprise doit se soumettre ! Les anglo-saxons disent : « Comply, without going nuts« , autrement dit « conformez-vous mais sans perdre la tête ». D’où l’importance, à rappeler sans relâche, de créer et d’entretenir des plateformes de communication, de collaboration et d’échange entre les divers métiers que regroupe notre profession »
Freddy
« L’espoir que les initiatives lancées ces dernières années aboutissent et que la prise de conscience de certains responsables politiques se poursuive afin que la sécurité de l’information occupe la place qu’elle mérite au sein des entreprises, comme outil de gestion et de création de performance, et à plus grande échelle au sein de la société comme un moyen de protection de l’économie. Espérons-donc que tout cela survive à la « cyber-mode » actuelle. »
Pour finir, si vous deviez donner un seul conseil à ceux qui vous lisent ?
Diane
« Qui ? lol
A tous, sortons de notre bulle !
Aux RSSI particulièrement, de dresser la liste de toutes leurs actions qu’ils estiment être des victoires au service de la sécurité… on ne leur demande jamais.
Et aux consultants pour finir, de ne jamais oublier la définition du mot « conseil », et de l’enjeu de notre travail : La participation à la sécurité économique, à la compétitivité de nos entreprises et à la résilience des organisations quelles qu’elles soient. »
Hadi
« Ne vous plaignez pas, Contribuez ! Faites quelques pas à gauche ou à droite vers le silo d’à côté en entreprise, vous avez des choses à vous raconter et à vous apporter mutuellement. Intéressez-vous aux disciplines périphériques, ne vous dénigrez pas les uns les autres. Et surtout, venez nombreux aux Security Tuesday, le meilleur endroit pour échanger et discuter de manière conviviale, ouverte et généreuse sur tous ces sujets passionnants ! »
Freddy
« Aux RSSI de reprendre la parole, car paradoxalement plus le sujet arrive sur le devant de la scène et moins leurs message devient audible … Adaptez votre communication, poursuivez vos efforts de pédagogie … et surtout venez partager avec nous vos belles histoires lors des Security Tuesday… ! »
Merci pour ces riches réponses !
Bonjour,
1; N’avons-nous pas assez du vocabulaire français , que signifie donc « security tuesday » ?
2. Que peut-on redouter si notre ordinateur est protégé par un anti-virus, et autre parefeu, etc ,
3. Vous semblez surtout redouter l’espionnage industriel ! Quel intérêt en fait avez-vous à ce que tout citoyen soit protégé de hackers ?
4. Je serais très curieuse de connaître l’origine des fonds qui vous ont été alloués pour mener cette campagne. Eh! eh ! ; -]
Pour comprendre, les commentaires ci-dessus, il me faut un dictionnaire. Trop de sigles dont j’ignore le sens. Est-ce voulu ?