La formation maillon clé d’une bonne politique de sécurité

Longtemps considérée comme une menace « maitrisable », la sécurité informatique est désormais au cœur des préoccupations des entreprises. Historiquement cantonnée dans les sphères des DSI, elle s’est désormais répandue au niveau du Top Management et plus particulièrement au niveau des Directions Générales.

Ce changement s'explique notamment par les nombreux faits divers faisant état d'intrusions dans les SI et par l'essor de la cybercriminalité. Conscientes de ces éléments, les entreprises positionnent désormais la sécurisation de leur réseau, et par extension de leur système d'information, comme une priorité dans leur plan d'investissement. Ainsi, selon  le Gartner, la croissance du marché sera de  plus de 12% en 2008. Cette croissance s'explique par l'investissement des PME et par les obligations légales pour les grands groupes cotés.

 

Dans ce contexte, l'on constate que l'acquisition d'infrastructures et de logiciels de sécurité représente une première étape dans le processus sécuritaire. Mais une fois cette première phase réalisée, il apparaît que peu d'entreprises prennent la peine de repenser leur nouvelle charte de sécurité ou encore de maintenir leurs infrastructures déployées. Autant d'éléments synonymes de dangerosité .

 

La politique de sécurité informatique doit être un projet d'entreprise porté par la DG et animé tout au long de l'année par la Direction des Systèmes d'information. Il est nécessaire de définir un schéma directeur et de l'appliquer pour garantir une sécurité réellement optimale. Pour cela tous les collaborateurs de l'entreprise doivent agir à leur niveau et suivre une règle de conduite comprise et partagée. Cela passe par de la sensibilisation et des sessions régulières d'animation. La formation joue alors un rôle important à deux niveaux fondamentaux : la formation des techniciens et administrateurs réseaux et la formation à destination des fonctionnels non informaticiens.

 

Pour les Responsables réseaux, RSSI ou gestionnaires informatique dans les PME, il est fondamental de maintenir un niveau de connaissance actualisé. En effet, la sécurité informatique est un domaine très mouvant où la sortie de nouvelles failles connaît un rythme effréné. Solutions de Web SSO, biométrie, Firewall applicatifs... autant de domaines complexes qui imposent une formation. Il est alors indispensable de parfaitement les connaître pour les exploiter au mieux. Pour cela des formations très pratiques et non théoriques doivent être appliquées. Les responsables sécurité qui sont le premier maillon de la chaine sécuritaire doivent pouvoir maitriser les dernières technologies de protection, et, en parallèle, mener une veille active sur les sujets liés à la sécurité (informations répertoriées sur les  forums...)

 

Les fonctionnels doivent également être intégrés dans la démarche de sécurité. Des formations complémentaires doivent leur être proposées (au niveau des aspects généraux liés à la sécurité et au niveau des usages quotidiens permettant de ne pas s'exposer). Ces interventions relèvent plus de cursus orientés management et doivent vulgariser le domaine de la sécurité informatique en édulcorant au maximum les notions techniques. Il s'agit de sensibiliser et d'expliquer les bons gestes à adopter pour travailler en toute sécurité.

 

La croissance du marché de la sécurité IT va donc continuer de s'accélérer sur les prochaines années pour atteindre plus de 13,1 milliards de dollars en 2011. Cette prise de conscience des entreprises qui s'équipent massivement est une première étape importante et rejaillit fortement sur les besoins de formation. Fort de ce constat, il est désormais nécessaire d'accompagner les entreprises dans leur démarché et de leur proposer des interventions leur permettant d'optimiser leur politique sécuritaire et de rentabiliser leurs investissements.

Autour du même sujet