Panorama des nouveaux risques pour les SI : interview de Vincent Maret

Vincent Maret est responsable de l'offre sécurité des systèmes d'information au sein de PricewaterhouseCoopers; retrouvez-le le 2 décembre 2010 à Paris, lors de la conférence "Actualité du droit des systèmes d'information".

Quels nouveaux risques juridiques pour les systèmes d'information avez-vous vu émerger ces dernières années ?
Les systèmes d'information sont désormais des "biosphères" très larges, qui ne sont plus limitées aux seuls employés, processus et sites internes des entreprises. Ils sont désormais partagés avec des partenaires du monde entier, et accédés par des employés, prestataires et clients opérant depuis n'importe quel point du globe. Des nouvelles technologies ou des nouveaux usages comme Facebook et Twitter surgissent très rapidement sous la pression des utilisateurs. L'essor du Cloud Computing rend en outre les systèmes d'information encore plus abstraits et globalisés. On constate enfin une confusion de plus en plus forte entre les outils informatiques personnels et professionnels. Toutes ces tendances complexifient grandement les questions juridiques liées aux systèmes d'information, et beaucoup d'entreprises ressentent une certaine insécurité dans ce domaine.

Avec l'émergence de nouveaux moyens de communication (I-pad, Blackberry...) quels sont les nouveaux risques à surveiller ?
Les risques sont globalement les mêmes (fuites d'information, fraudes etc), mais ils sont exacerbés par ces nouveaux moyens de communication, qui contribuent à rendre plus flous le périmètre des systèmes d'information. Ces composants pénètrent en outre souvent dans les entreprises sous la pression active des utilisateurs et du management. Les responsables du système d'information et de la sécurité du système d'information sont souvent mis devant le fait accompli, et doivent connecter au réseau interne des smartphones, tablettes, etc dont le niveau de sécurité n'est pas toujours sous contrôle. Un exemple constaté sur le terrain est cette entreprise dont les membres du management avaient obtenu de pouvoir connecter leur iPhone au réseau interne, via WiFI pour accéder à la messagerie de la société. Le seul problème est qu'une bonne part de ces smartphones étaient infectés par un ver qui les rendaient accessibles depuis Internet, via la connexion 3G.

Quels sont vos conseils pour organiser efficacement la sécurité des systèmes d'information ?
Il faut fonder sa stratégie sur la notion de risques métier liés à la sécurité de l'information pour l'entreprise. Ces risques évoluent rapidement, et il faut donc procéder au moins annuellement à une analyse générale des risques, qui permet d'isoler les risques majeurs et d'en déduire les plans d'actions prioritaires. Il ne faut pas chercher à mettre en œuvre toutes les bonnes pratiques, mais bien celles qui permettent de couvrir les risques les plus importants. Une autre nécessité est d'avoir une vision large, qui ne se cantonne pas qu'aux aspects techniques et à la Direction des Systèmes d'Information, mais qui inclut tous les domaines : métiers, conformité, organisation, politique, procédures, sensibilisation, juridique, assurance, contrats, contrôle interne, etc. Enfin, il faut prendre en compte les besoins et les souhaits des utilisateurs, car toutes les politiques et outils de sécurité du monde ne seront d'aucune efficacité si les utilisateurs ont l'impression qu'on les empêche de faire leur travail. Les sociétés les plus avancées ont dans ce domaine une approche proactive qui propose aux utilisateurs les nouvelles technologies innovantes, après les avoir sécurisées en amont.