jeudi 3 février 2011

Le coût de la conformité...

Il y a près d'un an, je publiais un article sur l'apport de la conformité à la sécurité.

Sans aller jusqu'à dire que la conformité tue la sécurité, on peut toutefois rester dubitatif sur les effets à long-terme d'une telle approche. Rappelons la triste affaire du vol de plusieurs milliers de numéros de carte bleue en 2009 ! Or, certaines des sociétés victimes étaient certifiées PCI-DSS, la norme de sécurité liée à l'exploitation des "cartes bleues".

Ayant eu l'opportunité de partager et d'échanger avec des experts du domaine, l'apport des normes est de manière générale indéniable. Apportant son lot de bonnes pratiques, techniques ou organisationnelles, et proposant des méthodes de management adaptées, il y a une vraie évolution dans la vision de la sécurité. Ainsi, les normes récentes comme la "suite ISO 27000" est définie par le risque et l'adaptation des mesures choisies à des risques évalués.

Les limites doivent toutefois être bien connues :

- la normalisation s'applique sur un périmètre donné et délimité. En-dehors, le niveau de sécurité n'est pas forcément modifié. Cela est parfaitement logique car dans le cas contraire, on aurait une dispersion des efforts et des moyens préjudiciable à l'augmentation du niveau de sécurité.

- la normalisation n'est jamais définitive. C'est un effort permanent d'évaluation, de correction et d'amélioration propre à des systèmes dits "de qualité".

- l'évaluation des risques comporte une part subjective.

Il faut donc avoir un œil critique sur les effets d'annonce afin de bien percevoir les limites d'un tel exercice. Par ailleurs, toutes les normes ne se valent pas et certaines ne sont pas forcément les plus efficaces !

Toutefois, si je reviens sur ce sujet, c'est pour vous livrer l'information intéressante relayée par CNIS Mag. Une récente étude menée par l'institut Ponémon révèle que le coût moyen de certification aux Etats-Unis est d'environ 3,5 Millions de dollars.

Menée sur 160 sociétés dont 46 de dimensions internationales, cette étude se focalise sur de nombreuses normes dont la sécurité n'est pas toujours la priorité : PCI-DSS mais aussi Sarbanes-Oxley.

J'ai tendance à être très critique sur ces aspects pour une raison simple, c'est que la certification coute très cher et a développé un business exceptionnel basé sur des obligations légales, elles-mêmes inventées pour pallier à des problématiques passées...Un peu comme si on se préparait à gagner la dernière guerre :D !

Ainsi, la certification des comptes de type Sarbanes-Oxley fait notoirement suite aux scandales Enron et autres. Elle a toutefois été incapable de prévenir d'autres types de crises et de scandales...

Alors quoi ? Encore une norme pour pallier à la dernière crise ? Encore un avatar qui coutera des millions et embauchera des auditeurs à tour de bras qui partirons une fois épuisés ?

Pour cette raison, je ne souscris pas aux conclusions du rapporteur de l'étude qui prétend que le niveau global de sécurité s'améliore même si chaque dollar dépensé n'améliore pas systématiquement ladite sécurité. Je n'y crois pas car on se protège, peut-être contre UN ou QUELQUES types de fraudes et de problématiques de sécurité mais cela manque terriblement de vision globale.

J'avoue ne pas détenir une solution définitive en la matière mais tend à penser que la direction prise par la normalisation ISO 27001 fournit un cadre intéressant. En effet, le cadre méthodologie n'est pas outrageusement prescriptif et, de ce fait, n'est pas limité par des méthodes d'applications ou des secteurs donnés.

Pourtant, il fournit de nombreuses indications, indicateurs et points de contrôle permettant à toute organisation de développer son propre système de sécurité...

Il manquerait donc une contrepartie : un volet de contrôle et de répression, punition (le bâton de la "carotte" 27001) intelligente et organisée...

L'avons-nous ? Je n'en suis pas sur mais sans doute mes lecteurs en savent plus que moi à ce sujet !

Source :

http://www.cnis-mag.com/le-cout-de-la-conformite-35-m-par-entreprise.html

2 commentaires:

  1. ca ressemble à du besancenot de la sécurité informatique...

    je ne te dis pas bravo

    RépondreSupprimer
  2. Bonjour et merci pour votre commentaire.

    L'objectif de ce blog étant de pouvoir voir mes idées améliorées et contredites, votre participation ne peut que me ravir.

    Toutefois l'usage du caractère anonyme ne me permettant pas de vous (re)connaitre et votre remarque étant lapidaire et non-argumentée, elle ne participe pas à cette amélioration du débat.

    Par ailleurs, je réfute votre remarque : ma démarche est une démarche de recherche et non idéologique. Elle est construite, cohérente et argumentée en reposant sur des sources documentaires identifiées (comme je le fais toujours) et des sources humaines (entretiens menés pour mes travaux de recherche).

    Sur le fond, travaillant dans la sécurité, je constate au quotidien l'apport, que je décris dans l'article, de plusieurs normes. Leurs limites structurelles doivent être connues pour les utiliser au mieux.

    Toutes ne sont cependant pas égales entre elles et cela provient d'experts...

    Enfin, je persiste à dire que les normes de type "SarbOx" ne protègent que contre CERTAINS risques, de manière limitative, et ne fournissent pas les moyens de prévoir et d'évaluer les risques à venir.

    Pour cela, il est légitime de craindre une inflation normative (c'est déjà un peu le cas), avec des normes sectorielles et limitées qui s'additionneront. D'où ma préférence qui va à un cadre méthodologique évolutif, contraignant sans être trop prescriptif...

    Je ne vois pas de "besancenot" là dedans..

    RépondreSupprimer