Information Security Principles

Un objectif de la gestion des risques est de garantir que la technologie utilisée dans l’entreprise est correctement protégée, sûre et fiable. Comme pour les technologies de l’information, le professionnel du risque n’a pas besoin d’être un expert en sécurité de l’information, mais il doit posséder des connaissances suffisantes pour s’assurer que le programme d’évaluation et de réponse aux risques examine les nouvelles technologies et fournisse des conseils efficaces sur la manière de les mettre en œuvre et de les utiliser dans des limites de risque acceptables, chaque fois que cela est possible.

Les systèmes anciens, communément appelés systèmes « legacy » ou « hérités », nécessitent souvent une attention particulière en raison des écarts existants entre leur conception et les normes de sécurité actuelles. Ces systèmes peuvent manquer de fonctionnalités de sécurité ou inclure des mécanismes qui ne sont pas adaptés aux menaces observées. Lorsqu’ils atteignent la fin de leur cycle de vie opérationnel, ils deviennent également plus vulnérables aux défaillances liées à leur vieillissement. Les options de réponse au risque pour les systèmes hérités sont souvent limitées en raison du coût élevé de leur remplacement ou de leur mise à jour. Certains systèmes hérités peuvent être irremplaçables, ce qui est fréquent dans les environnements industriels. Dans ces circonstances, le rôle du professionnel du risque n’est pas de rejeter une mesure particulière, mais de travailler avec le propriétaire du risque afin de créer un niveau de risque acceptable.

Chaque système est sous la responsabilité d’un propriétaire de système. Celui-ci est généralement un cadre supérieur du service pour lequel le système a été créé. Par exemple, le propriétaire des données financières et des systèmes financiers d’une entreprise peut être le contrôleur ou le directeur financier. Le propriétaire du système est responsable de l’utilisation et du bon fonctionnement du système et doit approuver les dépenses liées à sa mise en œuvre, ses changements, ses mises à jour et son retrait. La propriété ne signifie pas la responsabilité directe de toutes les actions réalisées. En règle générale, les propriétaires de système s’appuient sur le service informatique ou un prestataire externe pour gérer et exploiter les systèmes dont ils sont responsables, au bénéfice de leurs domaines fonctionnels.

Enfin, les grandes entreprises peuvent avoir de nombreux propriétaires de systèmes dans différents départements, ce qui peut compliquer la gestion, le suivi et la garantie d’une exploitation coordonnée. Par exemple, un système d’information qui soutient le service commercial peut fonctionner dans un environnement culturel très différent de celui d’un système d’information qui soutient le service financier, et cette différence culturelle peut influencer la manière dont le système est géré et protégé. Si la protection de chaque système relève uniquement du propriétaire de ce système, il peut alors exister d’importantes disparités dans la manière dont la sécurité et le risque sont contrôlés pour chaque système. C’est un problème majeur pour les entreprises modernes interconnectées, car le partage d’informations et les interdépendances entre systèmes rendent probable qu’une faille ou une vulnérabilité dans un système devienne un risque pour l’ensemble de l’entreprise.

Comment gérez-vous les risques dans votre entreprise ?