Sécuriser des masses de données est un enjeu de taille pour les entreprises. Une obligation, plutôt qu’un choix. C’est dans ce sens que la Bourse de Tunis a organisé en partenariat avec la fondation Konrad Adenauer Stiftungun une conférence sur le management de la sécurité de l’information dans l’entreprise intitulée « Pas de sécurité, plus d’entreprise ».
Durant cette dernière décennie, les hackers initialement joueurs sont réellement montés en compétences pour se livrer à des attaques sophistiquées. Plus récemment l’année 2017, et probablement l’année 2018, les cybercrimes visent aussi bien les actifs informationnels que les process de l’entreprise. La nécessité de mettre en place une gouvernance d’un système d’information impliquant les décideurs n’est plus à démontrer. « Il faut plus qu’une mise en place d’une structure mais adopter une démarche réelle avec des revues et des rapports périodiques», a déclaré Elyes Khémiri, auditeur en sécurité informatique certifié par l’ANSI.
Se basant sur une étude établie entre 2005 et 2010, il avance que 40% des 40 institutions sondées (15 banques et 25 organismes entre intermédiaires, assurances, leasing et sociétés cotées) possèdent un manuel de sécurité formel qui est appliqué. Il atteste que le plus important est d’établir une évaluation périodique et des audits de conformité et d’implémentation du manuel de sécurité.
« Pour la norme ISO 27001, Il ne suffit pas de disposer d’un manuel de sécurité, il faut qu’il soit approuvé par le comité de sécurité et le comité stratégique, c’est à dire les organes décisionnels de l’entreprise », insiste –t-il. Il est important pour Elyes Khemiri de se situer par rapport à la norme ISO 27002 pour identifier la possibilité de rattrapage, bref évaluer combien sera long le chemin !
Sécuriser quoi ?
L’information est indéniablement l’intrant des décisions, sa sécurité est alors un outil stratégique dans l’entreprise. La sécurité de l’information doit garantir tous les supports qui hébergent l’information qu’ils soient matériels, progiciels, base de données, application métier ou même le comportement de l’utilisateur.
Celui-ci peut avoir la latitude de changer ou de révéler l’information. « Même l’imprimante est un actif informationnel, auquel il faut lui attribuer un mot de passe, sans oublier l’importance de mettre en place une politique de gestion des supports amovibles » a précisé Mourad Ouerdiane, auditeur tierce partie ISO 27001 AFNOR. Il souligne que tous les risques afférents à la triade de la sécurité de l’information à savoir la confidentialité, la disponibilité et l’intégrité doivent être gérés. Jamais anéantis mais atténués. Et d’ajouter que « 75% des attaques ont été effectuées par le personnel de l’entreprise, notamment ceux qui disposent des codes d’accès ».
Il a affirmé l’importance de garder la traçabilité. « Il est primordial de mettre en place des dispositions de back office. Ainsi toute les opérations sont tracées pour anticiper et remédier en cas de besoin ». Ne se limitant pas qu’aux attaques et risques techniques, la sécurité a fondamentalement un aspect managérial. Il faut planifier l’objectif de sécurité, vérifier l’efficacité des procédures, engager des améliorations en cas de défaillances, disposer d’un plan de continuité d’activité en perpétuel amélioration.
C’est un processus continu qui doit être piloté par la direction générale. la certification n’est pas un produit, c’est un processus continu, un fonctionnement au quotidien »a témoigné Kais Zangar de la SFBT.
Des retombées business dites-vous ?
Sécuriser ces données c’est déjà un objectif en soi, d’après Mourad Ouerdiane. A cet effet, il convient d’abord d’identifier les risques associés et de les hiérarchiser en fonction de leur impact. Revient ensuite au responsable d’accepter ou de transférer le risque. C’est dire que l’information auquelle est rattaché ce risque peut provenir d’un client. La sécuriser revient à renforcer la confiance du client, améliorer la relation et l’image de marque de la société. la sécurité peut se révéler un argument commercial.
Pour abonder dans le même sens, Kais Zangar affirme à travers un retour sur l’expérience de la certification ISO 27001 de la SFBT que celle –ci dénote une bonne gouvernance et une anticipation par rapport aux risques liés à la transformation digitale œuvrant à forte allure. La certification est en quelque sorte une garantie pour ne pas baisser la cadence et être en situation de vigilance continue. Le résultat s’est vite ressenti sur les relations qu’ils détiennent avec leurs parties prenantes.
Zangar a également affirmé que suite à la démarche de certification, la SFBT a pu réaliser des économies de coûts. Entre 2013 et 2017, la consommation d’internet a chuté de 86% et les incidents de sécurité du système d’information ont baissé de 92%.
