Une réaction intéressante encore une fois aux Etats-Unis où l'évaluation des politiques et pratiques de sécurité est très largement commentée. Vivek Kundra, membre du GAO (la cour des comptes américaine) s'est ainsi exprimé devant le Congrés et a émis l'hypothèse que le niveau de "cyber-sécurité" était encore trop bas notamment à cause d'une approche trop "scolaire" du FISMA.
Le FISMA est une loi qui définit les obligations relatives au management de la sécurité de l'information, notamment pour les administrations et autres agences américaines. Kundra dénonce à ce niveau une approche de type "conformité" tout à fait regrettable. En effet, tous les efforts entrepris en ce sens, bien que remarquable, ne sont pas aptes à garantir une sécurité de l'information efficace.
Certains experts ont déjà, par ailleurs, critiqué de telles approches "conformité" appliquées à l'ISO27002 qui engendrent des effets désastreux en termes de coûts sans parfois élever efficacement le niveau de sécurité. L'application de cette norme se concevant dans une démarche de management des risques et de mesures répondant aux risques existants et mésurés.
Un esprit taquin ajouterait par ailleurs que les obligatoires audits pratiqués aujourd'hui sont un peu dans la même veine. Ils répondent à un besoin ancien (prévenir les scandales de "type" ENRON) et s'ils apportent une forme de certitude sur les comptes et la bonne gestion des entreprises, ces mêmes audits n'ont pas été utiles pour prévenir la crise que nous connaissons aujourd'hui. Les obligations d'audit n'étant, en effet, pas prévues pour mesurer ces risques précis et les organisations contrôlées se focalisant sur le respects des principes et éléments garantissant un audit aux résultats favorables.
Il ne faut pas voir ici une critique de l'approche normative, bien au contraire, car elle est un élément majeur et indispensable mais les critiques de la GAO rappellent qu'au-delà des normes, la sécurité est parfois également une affaire d'intelligence et de bon sens.
Source :
http://gcn.com/Articles/2009/10/30/Cybersecurity-hearing-Congress-Kundra.aspx?Page=1