Anis Youssefi, DG Advancia IT System
Advancia est l’un des leaders de l’IT sur le marché tunisien, spécialisé dans la fourniture de services Cloud et des services managés. Naturellement, la sécurité informatique fait partie intégrante de son activité. Pour mettre sous les lumières les meilleures bonnes pratiques en la matière, Anis Youssfi, DG d’Advancia IT System, s’exprime. Il est ingénieur diplomé de l’ENSEA et il s’est forgé une forte expérience dans les principaux métiers de l’IT d’abord à CapGémini et à Devoteam avant d’atterrir chez Neurones IT.
Quelle place occupe la sécurité du système d’information auprès des directions informatiques aujourd’hui ?
La prolifération des applications dans les entreprises, la complexité des architectures informatiques avec l’émergence des technologies hybrides ainsi que la propagation de politiques d’entreprise favorisant le BYOD (Bring Your own device) rendent le système d’information de plus en plus vulnérable. La sécurité du système d’information devient un enjeu majeur pour les directions informatiques aujourd’hui, si ce n’est la priorité la plus forte.
Comment les entreprises sont-elles exposées aux risques de sécurité et quels risques encourent-elles ?
Aujourd’hui, la cybercriminalité gagne du terrain et devient une réalité pour les entreprises (qu’elles soient PME ou multinationales). On assiste de plus en plus à des attaques ciblées qui visent une institution en particulier et exploitant des failles de sécurité spécifiques. Les dénis de service suite à ces attaques peuvent être de plusieurs jours impactant l’image de la marque et le chiffre d’affaires de la société, avec de plus en plus de demandes de rançon à la clé. Il existe aussi un autre phénomène qui concerne les risques de sécurité venant de l’intérieur de l’entreprise: on parle par exemple de DLP (Data Loss Prevention) pour protéger le patrimoine de données contre toute fuite (pièce comptable, brevet, communication importante).
Comment une entreprise doit-elle aborder l’aspect de la sécurité de son système d’information ?
Il existe plusieurs niveaux de sécurité, imposés par des aspects légaux, de gouvernance ou purement business. Des certifications spécialisées ont émergé en fonction du domaine et du métier notamment dans les environnements bancaires (ISO 27001, SOX, PCI DSS). Une entreprise peut s’engager dans une démarche de certification pour l’une des raisons citées.
Pour une PME, la sécurité informatique peut concerner plusieurs niveaux. Chaque niveau est une faille potentielle exploitable par une personne malveillante : le poste de travail de l’utilisateur (fixe ou nomade), le point d’entrée au réseau de l’entreprise à partir d’internet, le code applicatif en lui-même, la messagerie d’entreprise qui représente un vecteur principal des attaques.
Il y aussi une culture de sécurité à imposer au niveau de l’entreprise et ceci passe par les bons usages.
Quels sont les principaux acteurs informatiques dans le domaine de la sécurité ?
Le marché mondial de la sécurité informatique est colossal et regroupe des constructeurs, des éditeurs logiciels, des sociétés de services. Le modèle du Cloud Computing avec l’externalisation des processus de gestion de la sécurité dans des centres de services tiers (appelés SOC) est un modèle qui se répand de plus en plus car il permet à l’entreprise de déléguer à des experts la gestion de sa sécurité informatique. A ce titre, Advancia IT SYSTEM a développé plusieurs offres dans ce sens à destination des entreprises en Tunisie pour la sécurisation de leurs données et de leurs systèmes informatiques.
Que pouvez-vous nous dire sur l’aspect coûts associés à la sécurité ?
La sécurisation du système d’information a certainement un coût. Traditionnellement, il fallait allouer des budgets d’investissements pour l’acquisition de plusieurs systèmes de sécurité en fonction de la taille de l’entreprise. Aujourd’hui, et avec la maturité des offres de type Cloud Computing, la sécurité devient une composante sous-jacente aux offres proposées par les fournisseurs de services et applications Cloud. De plus, on passe d’une logique d’investissement à celle d’une facturation à l’usage.