|
Vendredi, 02 Décembre 2005 16:41 |
Protection du système d’information, failles identifiées ou politiques de sécurité : quand, comment et vers qui doit-on communiquer ? Tous les responsables informatiques en entreprise ou au sein des collectivités locales sont amenés à se poser ces questions. Dans le cadre des Ateliers de la Sécurité, l’association La Mêlée a réuni plus de 200 décideurs, le 22 novembre dernier à Entiore, Cité de l’Entreprise de la CCI de Toulouse, partenaire de l'opération avec le CLUSIR Midi-Pyrénées . En l’occurrence, cette journée d’échange a été conclue par un débat qui réunissait les responsables du CLUSIR Midi-Pyrénées (Anne Mur, de la société ON-X), du club RESIST (Pierre-Yves Bonnetain, consultant BA&CST), du MEDEF (Catherine Gabay, Directeur de l’Innovation, de la Recherche et des Nouvelles Technologies), ainsi que le responsable réseaux de la Mairie de Bayonne (Didier Bilella) et le responsable Sécurité de Devoteam, qui a pris en charge les activités de Pierre Fabre Informatique (Pierre-Yves Paris).
Les témoignages des différents intervenants ont clairement mis en lumière l’impossibilité d’être totalement transparent « après » un incident de sécurité. Quelles que soient les politiques développées, il apparaît que la communication doit précéder et anticiper les sinistres, afin de prévenir les situations de communication de crise.
Dans tous les cas, il semble acquis que le travail de veille sur les risques informatiques passe par une multiplication des échanges entres professionnels de la sécurité. Ce débat a notamment démontré, une nouvelle fois, que la rétention d’informations d’une entreprise sinistrée pouvait mettre en péril l’ensemble des acteurs économiques.
De fait, les réponses aux trois principales questions ont été catégoriques. Quand faut-il communiquer ? En amont des incidents (sachant qu’il n’existe aucune méthode pour « bien » communiquer après un sinistre). Que faut-il communiquer ? L’essentiel, c'est-à-dire une base de connaissances qui permette à chacun de choisir les bons outils et d’adopter les bonnes pratiques. Vers qui communiquer ? Tout d’abord vers les responsables qui ont des responsabilités comparables vis-à-vis du système d’information et de son intégrité.
En résumé, communiquer vers le grand public après un incident, même si toutes les mesures ont été prises pour empêcher qu’il se renouvelle, est systématiquement dommageable pour l’image de l’entreprise.
Dans ce contexte, il faut noter que l’Union Européenne, les organismes de normalisation (l’ISO 17799 impose aux responsables de la sécurité des systèmes d’information de communiquer avec leurs homologues) ou certains pays, comme l’Allemagne, prennent des mesures pour rendre la communication entre professionnels obligatoire. En clair, il s’agit d’une nouvelle forme du délit de « non assistance à personne en danger »… d’être victime d’un sinistre informatique. Pascal Boiron, Mid e-News
Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir.
|
