Loading...Ce sujet est inépuisable mais il peut facilement épuiser tout le monde car les préoccupations ne sont pas toujours les mêmes pour tous. Les garants de cette sécurité du système d’information peuvent passer pour des extrémistes ou freins dans de pratiques efficaces. Les utilisateurs à la recherche d’efficacité peuvent passer pour des laxistes notoires en voulant contourner des systèmes de sécurité. Et pourtant il faut s’entendre …
Ce n’est pas une résolution de cette nouvelle année [bonne année à tous quand même] car on y travaille depuis quelques semaines, mais on prévoit d’organiser dans les semaines qui viennent un séminaire, une table ronde ou un grenelle (terme à la mode) sur la sécurité qui rassemblerait numériquement un public représentatif de l’entreprise. L’objectif de ce séminaire est que l’on s’accorde tous sur ce qu’est une bonne sécurité au niveau de l’entreprise, d’une agence, d’un projet ou encore pour un individu.
Nous avons eu pour le moment une approche de la sécurité très transversale, très globale. C’est-à-dire une sécurité qui est la même pour tous. On s’aperçoit que les demandes de dérogation sont de plus en plus nombreuses et que cela nuit en fin de compte à la sécurité et à une bonne maîtrise par tous car il y a trop de cas particuliers.
La sécurité doit évidemment rester une approche très transversale car elle doit veiller à la bonne protection de nos actifs numériques et aussi ceux de nos clients pour lesquels on réalise leurs projets. Je suis convaincu qu’en interrogeant individuellement des pentaloguiens, on aurait une très grande majorité qui considère que la sécurité est importante et qu’il faut sans cesse l’améliorer. C’est un peu comme la qualité, il y a de nombreuses similitudes entre les deux, tout le monde est d’accord pour en faire mais le changement des pratiques est souvent difficile.
Nous serons tous d’accord donc pour dire que la bonne sécurité doit :
– Etre adaptée au contexte : ni trop excessive, ni trop laxiste.
– Travailler à une sensibilisation régulière.
– Toujours être améliorée.
– Être l’affaire de tous.
– Être l’application à des ensembles d’une stratégie globale.
Il ne faut pas négliger non plus que dans notre domaine d’offshorer IT, la sécurité est un facteur de confiance au même titre que les capacités de nos collaborateurs. On part avec un capital confiance car on a démontré notre démarche, nos capacités, notre vision, mais il faut que cela se démontre dans les faits et que l’on ne cesse de l’améliorer.
Au niveau du budget, là encore il y a des similitudes avec la qualité. Quand les mentalités ne sont pas sensibilisées, la justification d’un budget ou le déploiement d’une nouvelle solution est souvent difficile à présenter car elle est basée sur des pertes potentielles dont les évènements ne sont pas certains. Mais les expériences des autres sont là pour soutenir les choix.
Pour viser juste dans l’amélioration de notre sécurité, nous allons donc avoir des discussions sur un ensemble de thématiques : Accès des utilisateurs, VPN, Sauvegarde, Utilisation des ressources, Protection des ressources, Besoins entreprise/agence/projet/individu, Que faut-il renforcer dans ce que l’on a déjà?, Comment s’assurer que les consignes de sécurité sont bien mises en œuvre par tous ? et bien d’autres sujets encore. Je lance ici l’appel à candidature aux Pentaloguiens voulant participer à ce séminaire en ligne. Afin que le séminaire soit bien préparé, les volontaires seront amené à se faire connaître sur notre réseau social et participer aux échanges préparatoires sur cette même plateforme. Le séminaire sera animé par Alex le responsable de l’infrastructure et de la sécurité. Ce séminaire doit nous permettre de clôturer les discussions et ainsi orienter les choix en termes de sécurité pour le département Infrastructure.
Je reviendrai dans ces colonnes pour donner un retour sur l’engouement des Pentaloguiens sur ce sujet et la manière dont s’est déroulé ce séminaire. Il sera un peu délicat de donner nos pistes d’amélioration mais j’en ferai une synthèse globale.
[Episode 05] Une feature team pour la réalisation des sites web
