La sécurité de l'information

securite-information

Bien comprendre les enjeux de la sécurité de l’information.

En savoir +

SMSI : la bonne solution ?

Depuis presque 10 ans, les Systèmes de Management de la Sécurité de l'Information (SMSI) se développent, est-ce une bonne solution ?

En savoir +

Le Plan de Reprise d'Activité dans le cloud (DRaaS) : une application vedette du cloud ?

Une étude d'EMC (*1) révèle qu'environ 75% des entreprises européennes n'ont globalement pas confiance dans leur capacité à se relever d'un sinistre·ou d'un incident grave touchant leur système d'information.

Pire, près de 60 % des PME européennes (entre 250 et 1000 personnes) n'ont pas de Plan de Reprise d'Activité de leur système d'information ! (*2)

Les différentes raisons sont bien connues :

  • Coût initial de la solution de secours et de son maintien en conditions opérationnelles
  • Complexité des tests PRA qui conduit à ne jamais le tester
  • Difficulté perçue de la démarche PRA et des techniques utilisées

Les PME privilégient alors des solutions comme l'externalisation des sauvegardes de données ou choisissent de ne répliquer que certaines applications critiques ... mais ces solutions couvrent mal les besoins toujours croissants de continuité d'activité des métiers.

Le cloud comme solution de PRA : Recovery-as-a-Service (RaaS)

L'idée est d'utiliser la simplicité du cloud computing et son modèle économique pour offrir une solution de secours informatique.

Pour accéder à une présentation du Plan de Reprise d'Activité dans le Cloud ou DRaaS : www.nuabee.fr

Lire la suite...

L'évolution dans le temps de la définition du risque

Le risque a longtemps signifié danger. D'ailleurs l'éthymologie de risque Risco (écueil, rocher escarpé) signifie "le risque que court une marchandise en mer." ... le mot risque, a longtemps gardé le sens de danger.

Puis de cette terminologie de danger, cette définition a évolué vers la combinaison d'un probabilité d'occurrence et de ses conséquences (ISO guide 73 V20002). C'est cette définition qui est encore souvent admise dans les entreprises actuellement.

l'ISO 31000 propose une nouvelle évolution de la définition du risque : l’effet de l’incertitude sur l’atteinte des objectifs. En effet toute entreprise voulant se développer doit prendre des risques, il est illusoire d'imaginer que l'on peut grandir sans prise de risque et cette prise de risque peut faire toute la différence entre réussite et échec.

Lire la suite...

Formations certifiantes : intérêt ou leurre

"Il est cependant un point où tout le monde s'entend, s'accorde déplorablement, disons-le : l'enseignement a pour objectif réel le diplôme ." Voici ce que disait Paul Valéry, en 1935, au sujet du baccalauréat. En effet, selon lui, le problème avec l'obsession des diplômes, c’est que le but de la formation devient son obtention, et non plus la formation de l’esprit.

Dans le domaine de la sécurité de l'information, on voit fleurir les formations certifiantes : ISO 27001 Lead Auditor, Risk Manager ISO 27005, CISSP ... Mais est-ce vraiment une bonne chose ?

Lire la suite...

Editorial

L'aversion aux risques est en évolution constante dans nos sociétés. Cela se traduit par une pléthore de lois, normes, règlements et codes de bonnes pratiques.

Les entreprises sont de plus en plus soumises à des contraintes de management de leurs risques, type Loi sur la Sécurité Financière (ou Sarbanes Oxley), Bâle 2 pour les organismes financiers, Solvency 2 pour les assureurs ...

Pourtant, encore peu d'entreprises utilisent des méthodes éprouvées pour identifier leurs risques, en analyser leurs impacts potentiels sur leurs activités critiques, identifier les risques insupportables, choisir les mesures de sécurité les plus adaptées et les justifier vis à vis des enjeux business.

Un grand maître de la qualité, Dr. W. Edwards Deming disait il y a plus de 40 ans : "A goal without a method is nonsense". Mais en sécurité de l'information, il nous reste beaucoup de travail à faire pour atteindre le niveau de maturité des réflexions qui ont eu lieu dans le domaine de la qualité.

Alors que près de 50% des investissements productifs des entreprises ont trait aux technologies de l'information, la culture risque des DSI et RSSI français est encore faible. Si les systèmes d'information tendent à devenir un processus quasi industriel dans la tête des dirigeants, sur le terrain la culture processus de sécurité en est encore à ses balbutiements. Mais l'intérêt porté en France à ITIL, aux modèles de maturité CMM démontrent une prise de conscience en forte progression.

En France, la prise de conscience de l'intérêt des normes de sécurité des systèmes d'information, comme ISO 27001 ou ISO 27002 est évidente. En revanche, l'utilisation de méthode de gestion des risques est encore loin d'être systématique.

Espérons que la sécurité de l'information et la gestion des risques liés au SI s'intègrent graduellement dans les processus des entreprises et organismes .