Dans un livre blanc commandé par Bull Evidian au META Group, quelques meilleures pratiques aident les responsables sécurité des SI à défendre leurs budgets. (Jeudi 27 novembre 2003)
Un livre blanc intitulé
"La valeur de la sécurité de l'information"
- commandé par Bull
Evidian au META Group -, présente quelques
bonnes pratiques que les RSSI (Responsables de la sécurité
des systèmes d'information) peuvent appliquer pour
justifier leurs budgets et démontrer les apports
réels des moyens qu'ils mettent en oeuvre. A travers une série
de règles d'or, le cabinet montre notamment que
la réduction des coûts ne doit pas être
la seule justification aux dépenses mais qu'elle
doit s'inscrire dans une réflexion plus large d'évaluation
de la valeur apportée, en termes par exemple de
protection de la marque, de traçabilité,
de confiance dans les échanges ou encore de réactivité.
S'adosser
aux budgets stratégiques de l'entreprise Afin
de toujours mieux légitimer les dépenses
de sécurité, certains RSSI interrogés
mettent en avant l'adossement de ces dépenses à
des budgets plus globaux que l'entreprise déploie
dans le cadre de ses activités.
C'est ainsi qu'un projet d'administration des identités
a pu être inclus dans un plan de participation des
salariés, démarche centrale qui nécessitait
de recenser chaque individu et de lui attribuer un profil
personnalisé. Globalement, ce type de démarche
génère des économies par la standardisation
de la technologie et des processus mais aussi par le partage
des ressources d'infrastructure.
Ne
pas confondre analyse des risques et bâton pour
se faire battre L'évaluation
des risques est fondamentale dans une démarche
de défense d'un budget et de détermination
des priorités (lire notre
article). Or, cette évaluation permet aussi
de juger la performance du RSSI et de son équipe
car la direction s'attend à ce que les risques
diminuent après que les mesures adéquates
ont été prises. Elle peut par ailleurs décider
de baisser des budgets puisque la menace est censée
s'estomper... Pour éviter ces travers, le recours
à des auditeurs externes neutres - qui déploient
des méthodes standardisées - s'impose plus
que jamais.
Enfin, le META Group
insiste sur le fait que les technologies de sécurité
ne sont rien en elles-mêmes. Sans partenariat étroit
avec les "sponsors" des entités opérationnelles
et avec les DSI, les projets de type "commandos"
sont voués à l'échec.
Un RSSI d'Europe du nord témoigne
ainsi du fait que sa "méthodologie d'évaluation
des risques part d'une analyse des domaines métier
qui génèrent le plus de valeur". Cela
lui indique les programmes de sécurité auxquels
il doit se consacrer en priorité. Là encore,
s'appuyer sur la réalité de l'entreprise
et de son environnement permet de mieux justifier les
dépenses de sécurité.