Tribunes

Mesurer la sécurité du système d'information

PublicitéL'impact d'une attaque informatique peut se répercuter à tous les niveaux de l'entreprise. On estime ainsi que le montant des dommages causés l'an dernier par le virus Sasser s'est élevé à 3,5 milliards de dollars. Tous les secteurs de l'entreprise dépendent de l'informatique et une seule attaque peut interrompre l'activité, dégrader les relations avec la clientèle et se traduire finalement par un manque à gagner. Ceci explique pourquoi la sécurité informatique est un souci permanent, même au plus haut niveau de la hiérarchie. Mais la sécurisation de l'informatique présente un paradoxe : l'investissement est efficace s'il ne se passe rien. Alors qu'un investissement en informatique peut se traduire par une réduction des coûts, un meilleur service ou une efficacité renforcée, le succès de sa sécurisation ne se mesure qu'au maintien d'un fonctionnement normal. Par conséquent, la direction a du mal à savoir si les investissements ont été efficaces, et il est difficile d'en justifier de nouveaux. Il faut donc s'assurer que le conseil d'administration dispose d'une visibilité adéquate de la sécurisation de l'entreprise, sur trois points essentiels : le niveau de sécurisation des éléments essentiels à l'entreprise, le résultat des investissements en sécurité et le respect des réglementations. Identification et sécurisation des éléments essentiels pour l'entreprise Les ressources disponibles pour assurer la protection contre les menaces informatiques sont limitées. Les infrastructures sont de plus en plus complexes, intègrent de nouvelles technologies (comme l'accès mobile ou sans fil) et s'interfacent avec toujours plus de clients et de fournisseurs. En même temps, l'équipe informatique est submergée par un déluge d'informations sur les menaces et les vulnérabilités. Cet énorme volume de données rend quasiment impossible l'identification de menaces critiques et celles qui le sont moins, ce qui ne facilite pas la sécurisation de l'entreprise. Il faut définir les priorités pour les ressources limitées qui vont protéger le système d'information. Par exemple, un constructeur d'automobiles dépend des ordinateurs qui contrôlent les robots de ses chaînes de montage, alors qu'une société de e-commerce s'appuie sur son site web pour conduire les transactions. La direction doit avoir confiance dans la sécurité de ses systèmes critiques, et disposer de la visibilité voulue sur le niveau de protection. Retour sur investissement Afin de poursuivre les financements en matière de sécurité, le conseil d'administration doit comprendre le retour obtenu sur les investissements actuels et passés. Le principal problème de l'équipe informatique est de communiquer efficacement sur ce point. Il est assez facile de mesurer l'efficacité d'un investissement en CRM à partir de l'amélioration du service aux clients, ou les économies qu'apporte une nouvelle infrastructure réseau. Mais il est bien plus difficile de quantifier le résultat des investissements en logiciels de sécurité. Respect des réglementations Le conseil d'administration a également la responsabilité de s'assurer que l'entreprise se conforme aux réglementations. Confronté aux lois du type Sarbanes Oxley, Bâle II, Data Protection Act ou HIPAA, il doit comprendre les risques et s'assurer de la présence des contrôles nécessaires pour satisfaire aux exigences de ces réglementations en matière de sécurité. Prenons l'exemple de Sarbanes Oxley, une législation qui s'applique à toute entreprise cotée aux États-Unis, quelle que soit son implantation dans le monde. Cette loi a été votée pour améliorer la gouvernance des entreprises, restaurer la confiance des investisseurs et promouvoir l'éthique dans les pratiques commerciales. Les grands dirigeants de toutes les sociétés cotées en bourse aux États-Unis doivent maintenant certifier la présence des contrôles internes de leur entreprise et la véracité des rapports financiers. La sécurité des informations est devenue un facteur critique du respect de cette législation et, en l'absence des mesures appropriées, il est virtuellement impossible pour un CEO ou un CFO de certifier les comptes en toute confiance. La visibilité permet donc au conseil de vérifier si les contrôles nécessaires sont bien en place, et donc de contresigner les résultats. Pour les trois points qui viennent d'être évoqués, la visibilité peut être obtenue par l'intermédiaire d'un tableau de bord. De tels tableaux servent déjà dans d'autres domaines de l'informatique (par exemple la business intelligence). Ils donnent en un coup d'oeil l'accès aux informations, dans une présentation intuitive et claire. Un tableau de bord offre une vision complète de l'état de sécurité à un instant t dans l'entreprise. Il est possible de représenter graphiquement la valeur des actifs d'une entreprise, les informations de vulnérabilité et la rapidité d'application des patchs sur le réseau. La direction aura ainsi une vue d'ensemble de la sécurisation de l'entreprise. Par exemple, si le tableau de bord révèle que seule la moitié du réseau est protégé des vulnérabilités actuelles, il est clair que les investissements en sécurité ne sont pas à la hauteur de leur tâche. Ce même tableau de bord servira pour comparer l'évolution du degré de sécurisation avec les investissements correspondants. Outre la vue globale, le tableau de bord donne également accès au détail des informations de sécurité, pour comparer par exemple les différentes entités ou régions et savoir si des zones de l'entreprise sont vulnérables et ont besoin de plus de protection. La visibilité apportée par un tableau de bord apportera aux dirigeants la tranquillité qu'ils souhaitent. Face à des attaques capables de compromettre gravement le fonctionnement de l'entreprise, les dirigeants doivent avoir une vision en temps réel de la protection de leur système informatique critique. Le tableau de bord permettra également de savoir si la sécurité s'améliore au cours du temps et donc d'évaluer l'efficacité des investissements dans ce domaine. Enfin, la visibilité sur les contrôles de sécurité de l'informatique peut éviter une lourde amende ou même un emprisonnement pour défaut de respect des réglementations.