Attention aux sornettes en matière de sécurité!

Lors de sa conférence IT Security organisée à Sidney, Gartner a lancé formellement un appel en vue d’orienter positivement les efforts dans le domaine de la sécurité. Et de ne pas écouter toutes les histoires qu’on raconte en la matière.

Lors de sa conférence IT Security organisée à Sidney, Gartner a lancé formellement un appel en vue d’orienter positivement les efforts dans le domaine de la sécurité. Et de ne pas écouter toutes les histoires qu’on raconte en la matière.

Le budget sécurité disponible ne permet pas de faire face à toutes les menaces et ne doit donc certainement pas être galvaudé dans des “mythes, fausses interprétations ou conséquences de la peur de l’inconnu.” Selon Gartner, les exemples de ce genre de ‘mythes’ sont notamment: ‘les pirates sont en train de remporter la victoire, et la sécurité est un combat d’arrière-garde’, ‘les fuites de données sont de plus en plus fréquentes’, ‘la qualité de la sécurité dépend du montant investi dans l’infrastructure et le personnel’ et d’autres encore. Il est préférable d’accorder son attention aux menaces bien réelles, affirme Eric Ouellet, ‘research vice-president’ chez Gartner. “Une sécurité réactive par exemple ne résoudra ni ne diminuera les risques.”

Une approche positive est recommandée, consistant à considérer “la sécurité comme un outil aidant à appréhender les risques, afin que les entreprises puissent profiter des opportunités sur le marché.” Un exemple illustrant cette phrase plutôt vague: avant, on estimait que l’internet était un environnement peu sûr pour faire des affaires. Ensuite, la sécurité a mis en place un cadre de travail dans lequel les menaces étaient bien définies, gérées et acceptées. Et aujourd’hui, l’internet est utilisé au niveau mondial comme l’un des canaux commerciaux les plus importants. Les responsables de la sécurité doivent, toujours selon Gartner, casser leur image de négativistes (qui fait qu’ils sont considérés comme des obstacles aux nouvelles façons innovantes de faire des affaires en ligne) et démontrer clairement leur véritable rôle en la matière.

Gartner prétend dès lors aussi que la sécurité doit se concentrer sur les abus commerciaux (et pas sur la technologie et les processus sécuritaires en tant que tels) et doit engendrer des attentes réalistes (avec des systèmes de mesure concrets). En outre, il convient dans l’ensemble de l’entreprise de créer la confiance dans l’approche sécuritaire chez toutes les personnes intéressées. Et surtout de recommander que les processus d’entreprise soient revus en fonction de modèles plus sûrs. Le fait de faire accroire que la sécurité est un mal coûteux, mais nécessaire est assurément l’un des plus puissants euphémismes.