mercredi 17 février 2010

Le jeu et ses règles

Le CDSE (Club des Directeurs de Sécurité des Entreprises) vient de publier les actes de son colloque européen qui s'est tenu le 15 décembre 2009 à l'OCDE. Plongé dans leur lecture, je n'ai pas encore fini la cinquantaine de pages du rapport mais l'intervention du criminologue Alain Bauer est enthousiasmante.

Rappelant que les entreprises sont confrontées à des menaces réelles, organisées et de plus en plus ciblées, il note que celles-ci ont généralement un coup de retard en matière de gestion des risques tandis qu'en face, le crime est en mutation et que l'adversaire définit les règles du jeu. Une digression sur l'évocation de la mafia Turque qui a la particularité d'être également "prestataire de services" pour les autres mafia !

A. Bauer considère également que la conformité (référentiels normatifs de type "formule magique" ISO 27001 mais pas que) est un "drame [qui] empêche la réalité d'exister au nom d'une réalité virtuelle qui devrait être celle-là". Il y a beaucoup d'autres éléments significatifs mais je pense qu'il faut simplement retenir que si l'entreprise ne peut ni quitter la partie ni en imposer les règles, alors il faut les changer !

Pour se faire, les personnes en charge de la sécurité doivent s'inscrire dans une démarche pro-active en développant l'analyse en amont afin d'anticiper les coups à venir. Protéger étant aussi anticiper, l'intégration d'un processus prospectif permettrait à l'entreprise d'infléchir certaines règles du jeu à son avantage. Un processus à définir de manière peu orthodoxe puisque s'appuyant autant sur l'innovation, une bonne dose de créativité et d'instinct, le tout combiné à une démarche d'I.E. appliquée à la sécurité de l'information. Il faut laisser de la souplesse et éviter les effets trompeurs de type ligne Maginot dans lesquels nous nous laissons choir chaudement au creux d'une sécurité qui n'est qu'apparente !

Le fil conducteur dictant cette profonde évolution d'usages dangereux car non remis en cause : comment faire évoluer régulièrement les dispositifs et processus de protection que j'applique ?
Comment rendre dynamique ma sécurité (et surtout pas sous le seul angle technique, restrictif à mon sens).

Le sujet est vaste et mérite plus qu'un simple billet posant la problématique. Là aussi, je vous ferai part de mes réflexions sur le sujet et apprécierai également les vôtres.

jeudi 11 février 2010

Réseaux sociaux 1 - Blogs 0

Au risque d'enfoncer des portes ouvertes, mon blog est resté inactif durant de longs mois. S'agissait-il d'illustrer le côté has been récemment pointé par les media ou, plus prosaïquement, ai-je manqué d'inspiration face à une actualité bien pâle et sans réelle innovation/évolution/révolution ? Sans doute a-t-il s'agit de tout cela car je n'aime pas vraiment parler ou écrire...pour ne rien dire !

Quelques éléments intéressants me donnent cependant envie de réagir. En premier lieu, les sempiternels rapports d'éditeurs bien connus sur les menaces à venir . Ou comment recycler les mêmes ingrédients depuis des années pour ne rien proposer de nouveau ! Eventuellement, on notera l'émergence du thème portant sur les infrastructures critiques, bien commodément remis au goût du jour ces derniers temps. En lien direct, malgré ou en dépit des apparences, l'affaire Google en Chine qui n'est rien d'autre que l'instrumentalisation de faits, certes graves, dont l'extension politique et surtout géopolitique n'est pas...absurde. Sur cette affaire, je vous renvoie à l'article intéressant de Wired, traitant des APT (Advanded Persistent Threats).

Finalement, je vais opter pour le côté has been :) et m'intéresserai prochainement à l'intérêt pratique que les entreprises, mais pas que, ont à exploiter les réseaux sociaux. De vraies mines d'or que ces lieux d'ego-socialisation dont il me semble nécessaire de pointer les limites et d'explorer les usages professionnels en interne des entreprises.