Perspectives du secteur bancaire au Canada pour 2014

Structure de sécurité simplifiée : Valeur ajoutée pour l’organisation

  • Partager

Les menaces à la sécurité des renseignements constituent aujourd’hui l’une des priorités absolues pour la direction et le conseil d’administration de toute organisation. Les chefs de la sécurité de l’information sont devant une problématique : réduire les risques de sécurité à un niveau et à un coût acceptables, sans perturber les activités ni changer la culture d’entreprise de leur organisation. La notion de simplification de la structure de sécurité s’inscrit dans une optimisation des processus et outils en place qui vise à réduire le gaspillage et à donner une valeur ajoutée à l’organisation. Toute utilisation de ressources qui n’ajoute pas de valeur est vue comme un gaspillage.

Une structure de sécurité simplifiée se décrit par l’application des concepts de la gestion allégée pour certains volets précis de la sécurité, comme la sécurité des sites ou encore de la chaîne d’approvisionnement, et elle peut être séparée du reste de la fonction de sécurité. Voici quelques exemples de stratégies de réduction du gaspillage courantes pour un groupe responsable de la sécurité de l’information :

  • Lien avec les activités d’affaires et valeur : Rattacher les objectifs opérationnels aux risques de TI et établir quels contrôles de TI sont exercés. Les contrôles doivent être d’un niveau approprié qui garantit l’ajout de valeur et l’atténuation des risques.
  • Processus de conformité : Soumises à des réglementations et à des obligations de conformité, les organisations doivent se plier à divers audits et évaluations comme un audit financier, un audit du secteur des cartes de paiement et un audit réglementaire. Le regroupement des audits et évaluations et un recoupement des points communs peuvent réduire le gaspillage sur tout le cycle d’audit.
  • Recyclage des politiques et procédures : Au lieu de créer de nouvelles politiques et procédures, il est possible d’acheter des politiques, procédures et programmes de sensibilisation à la sécurité et de les adapter aux exigences actuelles, et ainsi d’ajouter de la valeur efficacement.
  • Services de sécurité impartis : Certaines fonctions de sécurité qui n’apportent pas de valeur ajoutée et qui exigent un investissement de temps comme la gestion du journal d’événements ou la surveillance des pare-feu peuvent être confiées à un prestataire de services de sécurité qui a les outils et les ressources pour gérer et fournir ces services et pour produire des paramètres de sécurité avancés.
  • Convergence des fonctions de sécurité : Former une équipe responsable à la fois des TI et du contrôle de la sécurité physique qui veillera à la surveillance des risques organisationnels.
  • Embauche d’un spécialiste en sécurité des TI à mi-temps : Les petites et moyennes organisations n’ont pas les moyens d’engager un spécialiste en TI d’expérience. Elles devraient par contre en engager un à mi-temps (deux ou trois jours par semaine) pour répondre à ce besoin.
  • Automatisation des contrôles de sécurité : Certains contrôles du processus de sécurité en place comme la gestion des utilisateurs peuvent être automatisés. Entre autres, le système des RH peut être programmé pour attribuer et supprimer automatiquement des privilèges au moment de l’entrée en service et du départ des employés.
  • Solution la plus rentable : Comme il est illusoire de viser une sécurité étanche à 100 %, il vaut mieux investir les ressources disponibles dans la méthode la plus rentable sur le plan de l’atténuation des risques. Au lieu de viser la perfection à tout prix, on obtient souvent la meilleure protection avec une série de solutions en partie efficaces. Par exemple, on préférera le déploiement multicouche de plusieurs outils de protection (p. ex., pare-feu, serveurs mandataires), à l’achat de la protection la plus chère, la plus complète, mais aussi la plus ciblée offerte sur le marché.

La gestion de la structure de sécurité est un exercice délicat consistant à atteindre un équilibre entre les processus, la technologie et les ressources humaines, moyennant un budget limité. Une structure de sécurité simplifiée mène à l’émergence de méthodes inédites non seulement pour atteindre cet équilibre, mais aussi pour continuer d’ajouter de la valeur à l’organisation tout en faisant un meilleur emploi des outils, technologies et ressources humaines déjà en place. Les équipes responsables des processus de sécurité qui participent à la mise en place d’une structure de sécurité simplifiée gagneront beaucoup à apprendre à valoriser les efforts qui rapportent à l’entreprise.