Sécurité informatique (suite) : un peu de méthode face à un risque omniprésent

imagen blog meta4

Permanente, la menace ? Certainement.

Enquête après enquête, c’est prouvé et re-prouvé. Jugez-en plutôt.

-89% des utilisateurs ignorent que les smartphones transmettent des informations confidentielles (enquête et livre blanc de l’éditeur d’antivirus AVG, à consulter ici). Près du tiers des personnes interrogées ignorent le risque pour l’entreprise lié au double usage (professionnel et privé) de leur smartphone.

-Six utilisateurs sur dix d’Adobe Reader (lecture des documents pdf) utilisent des anciennes versions non mises à jour, vulnérables aux attaques de logiciels malveillants (étude de l’éditeur Avast Software, juillet 2011). De même, Windows XP reste une cible particulièrement réceptive aux attaques de virus, tandis que Vista et Windows 7 semblent mieux armés pour résister (étude d’Avast publiée en juillet).

-Le battage médiatique autour d’un nouveau produit comme l’iphone-5, ou un buzz lancé sur les réseaux sociaux ou sur Youtube (l’annonce de la mort de Ben Laden, par exemple) donnent matière aux pirates de tous poils qui en profitent pour glisser du code malveillant dans les mails (comme le montre le rapport CyberRoam du second trimestre 2011, à consulter ici).  

Rien de bien surprenant à tout cela. Surtout pour les experts en sécurité informatique : une spécialité qui ne cesse de prendre de la valeur dans l’organisation de la société en général et des entreprises en particulier.

Plus nouveau, le fait que cette prise en compte du risque informatique est amenée à s’étendre à d’autres métiers et  fonctions de l’entreprise. Jusqu’à devoir faire partie intégrante de la gouvernance de l’entreprise. C’est, du moins, l’idée que défendent les «pros» de l’audit de l’association AFAI. Et de joindre l’acte à la parole en éditant un référentiel et un guide de bonnes pratiques, pour un véritable «management par les risques». Les deux ouvrages, Référentiel Risk IT et Guide utilisateur Risk IT, partent du principe de la reconnaissance du risque informatique en tant que risque d’affaire/métier (business risk), et non pas comme un risque technique à traiter par les seuls informaticiens.

Pragmatique, le guide propose une aide à l’évaluation des risques, avec une cartographie fondée sur 36 scenarii de risque. Ces deux ouvrages, ainsi que des outils pratiques pour le suivi de gestion des risques, sont à retrouver sur le site de l’Afai. Les thématiques d’intervention de cette association  tendent à montrer l’extension aux métiers des enjeux de cette gestion des risques. Exemple : les obligations juridiques du dirigeant en matière d’archivage des données personnelles . Ou encore la frontière entre domaine privé et professionnel dans le cadre de téléchargement ou d’interventions sur les réseaux sociaux depuis son poste de travail. Entre autres thèmes qui interpellent (aussi) les DRH, n’est-ce pas?

You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.

Leave a Reply

Your email address will not be published. Required fields are marked *

HTML tags are not allowed.