Mal gérer les risques peut compromettre le budget sécurité

Face aux risques, business et IT doivent se partager les responsabilités, s’entendre sur les implications, les mesures à prendre et… les budgets à défendre.

Face aux risques, business et IT doivent se partager les responsabilités, s’entendre sur les implications, les mesures à prendre et… les budgets à défendre.

Qu’il y ait crise ou non, les risques continuent de se multiplier, de se diversifier et de se complexifier. La crise, par contre, pose de sérieux problèmes aux responsables sécurité, contraints de composer avec des équipes et des budgets revus à la baisse. “Pour que les entreprises puissent justifier et optimiser leurs investissements en sécurité”, estime Gartner, “elles doivent, d’une part, s’assurer que les mesures de contrôle de risque et de sécurité rencontrent les objectifs métier, clairement énoncés, et, d’autre part, persuader le business de prendre la responsabilité du risque.” Des conseils qui ne porteront leurs fruits qu’à la condition, toujours selon Gartner, que les responsables ne commettent pas l’une des 4 erreurs fondamentales suivantes :

– appliquer une approche globale, non différenciée, pour toutes les divisions de la société ou pour l’ensemble des constituantes d’une même activité : divers ‘profils’ de gestion des risques devraient être appliqués aux divers types et degrés de risque et de sensibilité des données.

– se baser sur les souhaits du business, plutôt que sur ses besoins réels : il revient aux responsables métier de définir clairement les implications risque de leurs processus et de fournir cette information aux spécialistes de la sécurité afin qu’ils puissent calculer et défendre des budgets adaptés.

– manier, dans le chef des spécialistes sécurité, un discours trop complexe concernant le degré de criticité, empêchant ainsi le business de bien comprendre le niveau de risque auquel sont exposés systèmes, informations et processus.

– transférer la responsabilité des risques métier vers l’IT : les responsables business doivent accepter d’endosser la responsabilité d’échecs et de carences concernant la sécurité ou la continuité de systèmes et informations dont ils ont la charge.

A lire par ailleurs dans le prochain numéro de Data News : la gestion des risques dans le monde des banques. Les participants à notre table ronde ont échangé leurs vues sur la manière dont les outils et processus IT peuvent, pourraient ou auraient pu améliorer les choses.