La gestion des risques en entreprise a longtemps été dévolue à un ensemble de responsables, éclatés au sein de différentes directions, dont les domaines de compétence étaient souvent étanches. Ainsi, la prise en compte des risques juridiques par les entreprises était souvent de la responsabilité d'un juriste, tandis que la direction des ressources humaines se devait de régler les problèmes liés aux personnels. De son côté, la direction informatique se préoccupait de la sécurité et de la maintenabilité du système informatique interne. Mais les lignes bougent.
La croissance de l'informatique d'entreprise, en termes de volume de données
traitées mais aussi de champs d'application, met aujourd'hui la gestion
du risque global au cur de la problématique de la DSI. Le cabinet
NTI évoque même cette transition comme celle de la gestion de
la sécurité vers celle de la gouvernance des risques opérationnels
de l'entreprise, au sens le plus extensif du terme.
Glissement sémantique au tournant des
années 90 |
Jusqu'aux années 90, l'informatique d'entreprise exigeait de prendre
en compte des aspects de la sécurité lié essentiellement
à la sécurité physique des installations, aux plans de secours, à
la cryptographie et à la lutte antivirus.
Mais l'évolution est rapide. Il est à ce titre intéressant
de noter que le glissement sémantique du terme de "sécurité
informatique" vers celui de "sécurité des systèmes
d'information" s'est effectué au tournant des années 90.
C'est aussi à cette époque que l'arsenal juridique commence
à se développer. Les lois sur la fraude informatique (1988),
le secret des correspondances (1991) ou encore le droit du logiciel (1995)
donnent à la fois un cadre d'action au système d'information
mais aussi des obligations à la DSI en termes de traitement et de conservation
des données.
La responsabilité juridique des DSI se renforce
La période suivante, entre 1995 et 2000, est marquée par un travail de fond sur la sécurisation des données. Il ne s'agit plus de sécuriser le système diInformation, mais bien plus d'assurer la sécurité de l'information en tant que telle. C'est pendant cette période qu'apparaissent les concepts d'intelligence économique dans la sphère informatique, avec les outils de détection et de tests d'intrusion.
Le début des années 2000 accompagne pour les DSI l'apparition des enjeux de la dématérialisation et du commerce électronique. Là encore, la question de la cyber-sécurité est centrale dans la mise en place de gros systèmes, ouverts tant aux employés qu'à l'extérieur de l'entreprise. On commence ici à toucher à des secteurs de l'entreprise, comme les processus métiers, qui étaient jusqu'alors étrangers aux DSI.
De fait, l'informatique d'entreprise s'intègre par le biais de l'intranet et des progiciels dans le cur d'activité des entreprises, dépassant largement le cadre des fonctions support auquel elle avait été assignée pendant ses jeunes années. Dès lors, la responsabilité juridique des gestionnaires de l'information numérique se renforce.
Respecter l'arsenal législatif |
Enfin, les enjeux actuels sont plus que jamais ceux de la mise en conformité
du système diInformation avec d'un côté les règlementations
boursières sur les publications de comptes (SOX, Bâle II) et
de l'autre côté la question essentielle de la gestion d'identité,
qui implique des actions à entreprendre dans le domaine de la biométrie,
de la lutte contre les malware, de la maîtrise des réseaux IP
et des réseaux sans fil.
Par sécurité, on entend donc désormais certes une
protection technique contre les intrusions, les attaques, et les défaillances
du système. Mais on entend aussi et surtout la capacité des
gestionnaires du système d'information à mettre en place des
systèmes de traitement, de communication et de stockage performants
qui respectent l'arsenal législatif grandissant qui encadre l'informatique
d'entreprise.
Pour ce faire, les compétences techniques et managériales
dont font preuve les DSI compétents ne suffisent pas. D'ou l'appel
de plus en plus fréquent à cette fonction si particulière
dans l'entreprise qu'est celle du déontologue.