Dans cette vidéo, Jean-Yves Oberlé – Président de Sarapis – aborde le sujet des dispositifs de contrôle et de pilotage de la sécurité de l’information qui ne parviennent pas à être pleinement efficients.
Comme on ne peut pas imaginer aujourd’hui acheter une voiture avec la ceinture de sécurité en option, la sécurité de l’information doit être tout autant embarquée dans la transformation numérique des organisations. Pour ce faire, cela nécessite un changement de point de vue et de méthode.
À travers son expérience et son expertise, Jean-Yves Oberlé a pu aborder la sécurité de l’information de différents points de vue tout au long de sa carrière. En effet, le responsable d’audit interne, du contrôle interne n’aura pas le même point de vue que le responsable de sécurité, ni les mêmes standards et outils. Et c’est précisément là que réside la difficulté qui empêche les dispositifs d’être pleinement efficaces : on ne parle pas le même langage entre toutes les fonctions dans l’entreprise, tout en parlant pourtant de la même chose, la sécurité de l’information.
Pour en avoir un vrai contrôle et un vrai pilotage il semble impératif d’avoir les mêmes protocoles d’échanges, ainsi que des dispositifs de construction cohérents et articulés. Cela relève donc d’une autre démarche que celle que l’on a aujourd’hui.
Les dispositifs de contrôle et de pilotage de la sécurité de l’information actuels dans les entreprises sont agrégés par construction : il y a inévitablement des faiblesses liées au fait que les dispositifs de contrôle et de pilotage n’ont pas été conçus comme un « système » global en tant que tel. Nous en sommes toujours réduits à revoir et reconsidérer les causes et les effets des dysfonctionnements. Dans une boucle sans fin, malheureusement nous rajoutons chaque foi une couche supplémentaire de standards et de réglementations.
La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes :
Règlement Général sur la Protection des Données (RGPD)
Loi de Programmation Militaire (LPM)
Hébergement des Données de Santé (HDS)
Système de Management (ISO 27001)
…
L’obligation de conformité impose de considérer le contrôle et le pilotage de la sécurité de l’information dans le cadre du processus de gouvernance de l’organisation. La sécurité des données, de l’information, des procédés concerne toutes les fonctions de l’entreprise, elle n’est pas l’affaire des seuls spécialistes de la sécurité.
Dans le prochain épisode, Jean-Yves Oberlé abordera les solutions pour résoudre la problématique de la sécurité de l’information et de l’alignement stratégique.