|
GESTION DES RISQUES INFORMATIQUES et MANAGEMENT DE LA SECURITE DE L'INFORMATION
L'aversion aux risques est en évolution constante dans nos sociétés. Cela se traduit par une pléthore de lois, réglements, normes et codes de bonnes pratiques.
Evidemment, les entreprises sont de plus en plus soumises à des contraintes de management de leurs risques, type Loi sur la Sécurité Financière (ou Sarbanes Oxley), Bâle 2 pour les organismes financiers, Solvency 2 pour les assureurs ...
Pourtant, encore peu d'entreprises utilisent régulièrement des méthodes éprouvées pour identifier leurs risques, en analyser leurs impacts potentiels sur leurs activités critiques, identifier les risques insupportables, choisir les mesures de sécurité les plus adaptées et les justifier vis à vis des enjeux business.
Un grand maître de la qualité, Dr. W. Edwards Deming disait il y a plus de 40 ans : "A goal without a method is nonsense". Mais en sécurité, nous avons encore beaucoup de travail à faire pour atteindre le niveau de maturité des réflexions qui ont eu lieu dans le domaine de la qualité.
Alors que près de 50% des investissements productifs des entreprises ont trait aux technologies de l'information, la culture risque des DSI français est encore très faible. Si les systèmes d'informations tendent à devenir un processus quasi industriel dans la tête des dirigeants, sur le terrain la culture processus en est encore à ses balbutiements. Mais l'intérêt porté en France à ITIL, aux modèles de maturité (CMM) démontrent une prise de conscience en progression.
En France, la prise de conscience de l'intérêt des normes de sécurité des systèmes d'information, comme ISO 27001 ou ISO 27002 est évidente. En revanche, l'utilisation de méthode de gestion des risques est encore loin d'être systématique.
Gageons que la sécurité de l'information et la gestion des risques liés au SI s'intégrent graduellement dans les processus des entreprises et organismes .
|
Domaines sécurité
