Qu'est-ce qui a déclenché une prise de conscience d'un besoin
en sécurité ?
Lorsque nous avons décidé de créer le poste de RSSI à SMABTP,
nous venions de changer de direction informatique, laquelle avait une nouvelle
vision globale du système d'information.
RSSI, j'avais commencé par faire réaliser un audit général
par une Société spécialisée avec la volonté d'effectuer une présentation globalisée,
point par point, et ainsi de présenter le niveau de sécurité d'alors, relativement
bas. Et en présentant ce constat, il a été possible de faire prendre conscience
du besoin d'entreprendre une démarche, qui par la suite n'a peut-être pas toujours
suivi le rythme qu'elle aurait pu.
 |
|
|
Intranet de sécurité de SMABTP
© Christophe Auffray
|
|
Quels indicateurs utilisez-vous pour piloter la sécurité ?
Ce n'était pas facile de définir un tableau de bord. J'ai
fait à mon idée avec un certain nombre d'indicateurs qui sont le niveau de sécurité
des outils en place, des contrôles de vraisemblance entre le nombre de personnes
effectives dans l'entreprise et les identifiants déclarés dans les annuaires par
exemple, la robustesse des mots de passe Windows, ou les attaques sur le réseau.
Ce sont principalement des indicateurs techniques, mais
que je synthétise sur une feuille avec des graphiques pour la direction informatique
et la DG. L'indicateur est vert, tout va bien, jaune je ne parviens pas à avoir
les informations nécessaires à l'indicateur, et rouge, ce n'est pas bon.
Ces indicateurs sont présentés tous les mois. Je tiens
aussi dans les indicateurs une liste des risques résiduels. C'est-à-dire tout
ce qui a été identifié au fil du temps, de discussion dans un couloir, un mail,
les éléments qui ne font pas partie d'un projet. Pour ces risques résiduels, il
y a un indicateur d'avancement, de résolution et des réunions cycliques d'avancement
de projet. Enfin, j'exploite une rosace élaborée lors des audits externes, sur
la base de l'ISO 17799, et qui précisent le niveau de sécurité tous les 3 ans.
| "J'exploite une rosace élaborée lors des audits
externes, sur la base de l'ISO 17799" |
Quelles sont les spécificités en sécurité dans le secteur
de l'assurance ?
Par rapport aux banques actuelles, les assureurs ont moins
d'obligations. Mais Solvency 2 va obliger les compagnies d'assurance à montrer
par des documents, des audits qui auront lieu, qu'elles ont bien mis en place
une analyse de risque et les actions les couvrant, et ceci pour bien d'autres
domaines que la sécurité.
Quels sont les principaux risques à couvrir ?
Le premier, comme dans d'autres secteurs, est que l'entreprise
ne fonctionne plus si l'informatique est en panne : les données sont toutes informatisées.
Le principal risque c'est donc la disponibilité.
En deuxième vient la confidentialité. Nombre de données
ne sont pas critiques. Il en va tout autrement des informations de la branche
assurance vie dont nous prenons grand soin. La perte ou la diffusion de ces données
n'est pas acceptable. L'intégrité des données et la preuve sont de plus en plus
importants. Cela engendre un coût non négligeable de mettre en place des systèmes
de log, d'enregistrement d'opérations et de stockage. Mais c'est devenu nécessaire
par rapport aux problèmes de fraude.
