J’ai régulièrement de vifs échanges de mots sur le sujet. Je crois qu’il faut revenir dessus et enfoncer le clou.
Il est évident que la sécurité informatique est un élément essentiel de notre vie puisque les ordinateurs sont omniprésents dans notre vie. Rappelons-nous que nos Smartphones sont également des ordinateurs – bien plus puissants que les premiers ordinateurs personnels dans les années 1980.
Les 9 domaines de sécurité
Revenons-y, ils permettent de mettre en place tout ce qui est nécessaire à protéger les données – et les informations – résidant sur nos ordinateurs… et ailleurs. Nous aurons toujours besoin de considérer tous les domaines si nous voulons bien contrôler les risques.
Souvenons-nous également que l’objectif de la sécurité est de nous permettre d’atteindre nos objectifs personnels, privés, professionnels ou d’entreprise. Ce n’est pas de protéger l’informatique elle-même.
La protection devrait être proportionnelle à la valeur que nous attribuons aux informations … ou de la valeur que les ‘mauvais’ leur attribuent quelque soit leur but.
Incompatibilités
Informatique
Rappelons que c’est l’homme (people) qui détient le ‘secret’ du contexte sans lequel l’information n’a plus toute sa valeur.
Il y a des éléments informatiques qui sortent du cadre de la sécurité de l’information :
- Ce qui concerne la configuration et la maintenance du matériel et des logiciels (programmes et applications). Cela ne veut pas dire que cela ne doit pas être organisé et réalisé correctement et protégé selon la classification accordée;
- Les incidents informatiques ne sont pas tous des incidents de sécurité de l’information (et inversement).
Il n’est pas nécessaire que les responsables d’affaires et les gestionnaires d’entreprise aient des connaissances techniques en informatique.
Informationnelle
Il y aura toujours des informations qui ne résident pas ou ne résideront jamais sur des ordinateurs et exigent un même niveau de protection que si elles étaient informatisées…
- C’est l’homme qui a les idées et garde en mémoire ce dont il a besoin pour agir (parfois – accidentellement, fortuitement ou volontairement – à l’encontre de ses objectifs);
- Beaucoup d’informations (et de données) sont encore sur support parier (ou autre) et non dans l’ordinateur. C’est souvent sur le papier que l’on couche les premiers éléments concrets d’une idée;
- Une application informatique est toujours la formalisation d’un processus ou d’une procédure manuelle (rendue plus aidée et moins rébarbative, répétitive, etc.);
- Ce qui sort de l’imprimante ou du graveur de CD/DVD, ainsi que ce que l’on transfère sur une clé USB ou carte SD) n’est plus soumis aux lois informatiques.
Si l’on oublie de protéger ces supports ou de motiver l’homme à se protéger autant que l’information qu’il détient (sa connaissance), j’ai bien peur que les investissements en sécurité ‘informatique’ n’aient que peu d’efficacité.
Que fera-t-on
- si l’homme qui possède la connaissance dont on a besoin n’est plus disponible ?
- si le support est perdu, volé, ou illisible ?
Les gestionnaires d’entreprises sont les seuls à pouvoir juger de la valeur de leurs biens (donc des informations) ainsi qu’à décider quels risques ils veulent couvrir ou courir ainsi que ce qu’ils sont prêts à accepter pour les protéger.
Environnement et Localisation
Je veux bien que l’on considère ces domaines pour le matériel informatique. Mais il ne faut pas oublier que l’homme et les différents supports n’ont pas les mêmes exigences environnementales et de lieu de vie ou de travail.
Ne pas considérer cela c’est s’offrir l’occasion d’avoir de belles machines « et personne pour manipuler les boutons et le clavier, ou pour lire (et comprendre, ce que l’ordinateur ne peut pas toujours à moins de disposer d’une intelligence artificielle) les indicateurs et les messages à l’écran.
Compatibilités
Il y a, je l’ai déjà dit, une zone où les deux ‘empires’ se superposent. L’étendue de cette ‘zone commune’ dépend … du contexte (tiens, le revoilà). Parfois cela sera léger, parfois (et en entreprise ‘souvent’) cela sera important.
Mais il n’y aura jamais de recouvrement total.
- La sécurité informatique ne contient pas la sécurité de l’information (mais bien celle des données informatisées).
- La sécurité de l’information ne contient pas (toute) la sécurité informatique, surtout si l’on veut y inclure les aspects relatifs au Cyber Espace.
Le professionnel de la sécurité informatique doit avoir bien moins besoin de connaissances en sociologie et en psychologie, mais bien plus en technologie, surtout qu’il faut suivre l’évolution – très rapide – de celle-ci. Le professionnel de la sécurité de l’information doit, lui, bien comprendre les fonctionnalités offertes par la technologie.
Les responsables métier et gestionnaires d’entreprise doivent pouvoir apprécier les risques, décider des options de traitement et de ce qu’ils sont prêts à investir autant dans la technologie que dans la sécurité. Mais ils ne sont pas impliqués dans les choix technologiques pour y répondre, sauf si celles-ci ont un impact sur les opérations et les activités quotidiennes.
Le responsable de sécurité informatique rapporte au département informatique alors que le responsable de sécurité de l’information rapporte aux responsables métier. Je suis cependant un chaud partisan des la collaboration étroite entre les deux ‘métiers’ de la sécurité.
Ne vous laissez pas endormir par les sirènes de l’un ou de l’autre bord. « Chacun son métier et, comme on disait, les vaches seront bien gardées. »
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+