La sécurité coûte cher
Oui, la sécurité coûte cher si on choisit des mesures de sécurité (de préférence de belles solutions technologiques) sans se poser la question de leur efficacité vis à vis des scénarios de risque réels. Non, la sécurité ne coûte pas cher quand elle est corrélée à des risques réels qui ont des impacts financiers sur l'entreprise. Mais ce n'est vraiment qu'en l'absence d'enregistrement des incidents de sécurité (et des impacts financiers liés : cas dans 70% des entreprises françaises) que la justification de mesures de sécurité reste encore compliquée.
Une analyse des risques incluant une analyse des impacts (en cas d'indisponibilité d'une partie du système d'information, de vol d'informations, de perte de données liées à des problématiques de sauvegarde ...) permet de situer les enjeux financiers et ainsi justifier économiquement des mesures de sécurité.
Les intrusions de l’externe constituent la principale menace
Pour les médias seulement, car il est plus facile pour une entreprise d'avouer qu'elle s'est fait pirater de l'extérieur que de l'intérieur. Mais les enquêtes approfondies, par exemple sur les détournements d'identité a démontré que sur plus de 1000 cas de vols (et revente) d'informations, plus de 70% des attaquants faisaient partie de l'entreprise.
Il devient plus facile et plus lucratif dans notre société de l'information de recéler des informations importantes ou données personnelles que de voler des marchandises.
La technologie résout la majorité des problèmes de sécurité
Des spécialistes de sécurité ont tenu ce type de discours, certains ont eu l'honnêteté d'avouer qu'ils s'étaient trompés (par exemple Bruce Schneier, spécialiste en cryptologie). Un parallèle avec la problématique qualité dans une entreprise peut être fait : suffirait-il d'avoir un parc de machines outils perfectionnées pour produire de la qualité ?
La réponse est évidemment non. En revanche dire que la sécurité c'est 20% de technique et 80% d'organisation est réducteur et inexact, car sans mécanismes de sécurité robustes, les mesures de sécurité purement organisationnelles sont peu efficaces.
Les approches par les bonnes pratiques sont peu efficaces
On oppose souvent les approches de sécurité anglo-saxones basées sur les bonnes pratiques et l'approche basée sur une analyse de risque. L'idée sous-jacente est que les anglo-saxons partent de guides de bonne pratiques, mettent en oeuvre les mesures de sécurité et, ensuite, se poseraient la question de leur efficacité et pertinence.
Les anglo-saxons dans leurs approches de sécurité concilient la réalisation d'une analyse de risques et ensuite l'utilisation de guides de bonnes pratiques pour la mise en oeuvre des mesures de sécurité. Il n'y a donc pas d'opposition et il ne faut pas oublier que les guides de bonnes pratiques (ISO 17799, ITIL, ...) permettent de bénéficier de l'expérience de spécialistes internationaux qui les améliorent régulièrement.
Il existe également un certains nombres de mythes sur la sécurité des systèmes d'information :
La sécurité et les logiciels libres : les mythes disent qu'ils n'y peu de virus sur les OS libres, qu'il y moins de failles de sécurité, que les correctifs arrivent plus vite .... Si il ne faut pas nier certains de ces faits, il faut avant tout remettre en perspective le nombre d'utilisateurs du monde libre versus Microsoft, Oracle ... et on peut parier qu'avec le développement (souhaitable) du monde libre, le nombre de vers, virus, failles soit proportionnel.
Un utilisateur ne peut pas être infecté par un vers simplement en surfant sur Internet : évidemment faux, entre les failles découvertes sur les navigateurs (exemple GDI pour accès aux images) et l'utilisation d'Active-X, Java ... un réseau non protégé est infecté en quelques heures.
Il y a encore le mythe des pirates qui viennent tous de l'extérieur de l'entreprise alors que plus de 3/4 des affaires de malveillance viennent de l'interne de l'entreprise (une étude faite aux USA sur les procès en pénal liés à la sécurité des systèmes d'information a montré que pour 90% des cas, l'origine de la malveillance venait de l'interne).
Il y a encore le mythe tenace en France qu'avec de bonnes mesures techniques on peut assurer un niveau de sécurité adéquat dans les entreprises ...
Bref les mythes sont bien cuirassés ... autres mythes sécurité |
Domaines sécurité
