La sécurité de l'information

securite-information

Bien comprendre les enjeux de la sécurité de l’information.

En savoir +

SMSI : la bonne solution ?

Depuis presque 10 ans, les Systèmes de Management de la Sécurité de l'Information (SMSI) se développent, est-ce une bonne solution ?

En savoir +

Le Plan de Reprise d'Activité dans le cloud (DRaaS) : une application vedette du cloud ?

De nombreuses étude convegerntes (EMC, Freeform Dynamics, ...)  révèlent qu'environ 2/3 des entreprises européennes n'ont globalement pas confiance dans leur capacité à se relever d'un sinistre·ou d'un incident grave touchant leur Système d'Information .

Pire, près de 60 % des PME européennes (entre 250 et 1000 personnes) n'ont pas de Plan de Reprise d'Activité de leur système d'information ! 

L'arrivée des solution de PRA as a Service pour les PME, comme Nuabee va permettre de faire évoluder la prise en compte de Plan de Reprise d'Activité.

Le cloud comme solution de PRA : PRA-as-a-Service (PRAaaS)

L'idée est d'utiliser la simplicité du cloud computing et son modèle économique pour offrir une solution de secours informatique.

Lire la suite...

L'évolution dans le temps de la définition du risque

Le risque a longtemps signifié danger. D'ailleurs l'éthymologie de risque Risco (écueil, rocher escarpé) signifie "le risque que court une marchandise en mer." ... le mot risque, a longtemps gardé le sens de danger.

Puis de cette terminologie de danger, cette définition a évolué vers la combinaison d'un probabilité d'occurrence et de ses conséquences (ISO guide 73 V20002). C'est cette définition qui est encore souvent admise dans les entreprises actuellement.

l'ISO 31000 propose une nouvelle évolution de la définition du risque : l’effet de l’incertitude sur l’atteinte des objectifs. En effet toute entreprise voulant se développer doit prendre des risques, il est illusoire d'imaginer que l'on peut grandir sans prise de risque et cette prise de risque peut faire toute la différence entre réussite et échec.

Lire la suite...

Formations certifiantes : intérêt ou leurre

"Il est cependant un point où tout le monde s'entend, s'accorde déplorablement, disons-le : l'enseignement a pour objectif réel le diplôme ." Voici ce que disait Paul Valéry, en 1935, au sujet du baccalauréat. En effet, selon lui, le problème avec l'obsession des diplômes, c’est que le but de la formation devient son obtention, et non plus la formation de l’esprit.

Dans le domaine de la sécurité de l'information, on voit fleurir les formations certifiantes : ISO 27001 Lead Auditor, Risk Manager ISO 27005, CISSP ... Mais est-ce vraiment une bonne chose ?

Lire la suite...

Editorial

L'aversion aux risques est en évolution constante dans nos sociétés. Cela se traduit par une pléthore de lois, normes, règlements et codes de bonnes pratiques.

Les entreprises sont de plus en plus soumises à des contraintes de management de leurs risques, type Loi sur la Sécurité Financière (ou Sarbanes Oxley), Bâle III pour les organismes financiers,  ...

D'autre part la migration inéluctable vers le Cloud public (même si certaines entreprises resteront sur mes modèles hybrides) induit une évolution de la prise en compte des risques.

Pourtant, encore peu d'entreprises utilisent des méthodes éprouvées pour identifier leurs risques, en analyser leurs impacts potentiels sur leurs activités critiques, identifier les risques insupportables, choisir les mesures de sécurité les plus adaptées et les justifier vis à vis des enjeux business.

Un grand maître de la qualité, Dr. W. Edwards Deming disait il y a plus de 40 ans : "A goal without a method is nonsense". Mais en sécurité de l'information, il nous reste beaucoup de travail à faire pour atteindre le niveau de maturité des réflexions qui ont eu lieu dans le domaine de la qualité.

Alors que près de 50% des investissements productifs des entreprises ont trait aux technologies de l'information, la culture risque des DSI et RSSI français est encore faible. Si les systèmes d'information tendent à devenir un processus quasi industriel dans la tête des dirigeants, sur le terrain la culture processus de sécurité en est encore à ses balbutiements. Mais l'intérêt porté en France à ITIL, aux modèles de maturité CMM démontrent une prise de conscience en forte progression.

En France, la prise de conscience de l'intérêt des normes de sécurité des systèmes d'information, comme ISO 27001 ou ISO 27002 est évidente et s'accélère depuis 2/3 ans. En revanche, l'utilisation de méthode de gestion des risques est encore loin d'être systématique.

Espérons que la sécurité de l'information et la gestion des risques liés au SI s'intègrent graduellement dans les processus des entreprises et organismes .