Les entreprises ont compris qu’en investissant sur les nouvelles technologies de l’information (TI), elles pouvaient espérer des gains substantiels de productivité allant jusqu’au 25 %. Toutefois, à défaut d’une vraie politique de sécurité – idéalement 10 à 15 % du budget des TI –, tous ces efforts financiers peuvent être anéantis rapidement et subitement. Plus d’une entreprise sur deux disparaît dans un délai de cinq ans après avoir subi un sinistre informatique ! Avant d’aborder le métier de spécialiste en sécurité informatique, prenons un peu de temps pour découvrir les tenants et aboutissant de ce secteur particulier de l’informatique.
Un système de sécurité, pourquoi?
Un système de sécurité va permettre de protéger l’ensemble des ressources informationnelles de l’entreprise tout en respectant des contraintes techniques que sont la confidentialité, l’intégralité, la disponibilité et la fiabilité. Les risques encourus sont liés à des accidents (physiques ou pannes), des erreurs (utilisation, conception, réalisation) ou à de la malveillance qui comprend la fraude, le sabotage, les attaques logiciels, la divulgation de données, la bombe logique. On estime que 66 % des entreprises ont déjà été victimes de fraudes informatiques, qui se sont démultipliées avec Internet… Particuliers et infrastructures gouvernementales ne sont malheureusement pas épargnés.
La prise de conscience, préalable à toute politique de sécurité
Un système de sécurité ne pourra être mis en place que si les différentes strates de l’entreprise sont sensibilisées à ce problème. Alors que 81 % des cadres se sentent responsables des données informatiques de leur compagnie, 39 % n’agissent pas en faveur de leur protection. « À peine 20 % des entreprises canadiennes sont sur la bonne voie en termes de sécurité informatique » déclare Martin Dion, cofondateur d’Above sécurité, et de préciser son propos « les entreprises publiques investissent davantage que celles du privé, sauf celles qui dépendent fortement des TI ou qui ont des obligations légales telles que les banques, les pharmaceutiques ou les entreprises cotées. »
Système et politique de sécurité vont de pair
Un système de sécurité ne sera efficace que s’il est combiné à une vraie politique de sécurité. Cette politique concerne la technologie, les processus et les individus. Les entreprises canadiennes se rassurent en investissant dans la technologie : 97 % ont des pare-feu et des antivirus, mais le reste ne suit pas. Il faut une personne désignée qui gère la sécurité et qui communique les attentes. « Au Canada, seulement 10 % des entreprises ont un responsable informatique, déplore Martin Dion. C’est peu, la masse salariale sécurité devrait représenter autant que le coût des licences. »
Le profil de l’emploi de spécialiste en sécurité informatique
Le métier de spécialiste en sécurité informatique est de plus en plus recherché dans les entreprises même si, en parallèle, le spécialiste en sécurité informatique n’est pas toujours apprécié de ses collègues qui lui reprochent souvent d’entraver leur travail avec l’abondance de mots de passe et de nouveaux règlements à appliquer. Il doit être compétent à la fois en systèmes, en réseaux et en programmation pour être en mesure de déceler des réseaux mal dessinés, des systèmes mal montés ou encore des applications mal codées. Son expertise technique doit être combinée à des compétences humaines qui lui permettront de jouer parfaitement ses rôles de médiateur (sensibiliser tout en ménageant les utilisateurs) et de formateur.
Quelques métiers de la sécurité informatique
- L’auditeur en sécuritéde l’information intervient en mission pour évaluer le système en place. Il conceptualise et effectue la mission d’audit, orchestre et développe la communication envers les commanditaires de l’audit.
- Le consultant en sécurité de l’informationpropose des solutions adaptées aux besoins définis préalablement. Il met en place, modifie et renouvelle les stratégies et pratiques opérationnelles.
- L’ingénieurchargé de la surveillance des incidents TI signale les incidents identifiés en interprétant les informations données par les outils de surveillance. Il est responsable de la communication et de la sensibilisation des utilisateurs face aux incidents liés à la sécurité.
- Le juriste en sécuritéconseille l’organisme dans le cadre d’adaptations nécessaires en matière de sécurité informatique. Il intervient en droit civil avec la protection des données, en droit des affaires pour le commerce électronique et en droit pénal ou contractuel pour traiter des questions relatives au piratage informatique.
La sécurité informatique est l’affaire de tous, et chacun peut y contribuer à son échelle en commençant par changer ses habitudes de travail. Mais dans le monde des affaires, n’est-il pas mieux de recourir à de vrais spécialistes, toujours plus performants et certifiés, qui sauront proposer une solution globale et adéquate?