Bonnes pratiques et expertises IT
Rechercher

« Web 2.0 : les DSI doivent vraiment s’inquiéter. »

Rencontre avec Chenxi Wang, analyste, Forrester Research

BPSI. Quel diagnostic portez-vous sur l’état de la sécurité applicative dans les entreprises ?

Chenxi Wang. On observe d’abord que les applications deviennent de plus en plus complexes : 37 % des entreprises sous-traitent leurs développements logiciels, il y a une forte demande pour les applications de mobilité, des architectures ouvertes et des outils collaboratifs. Et le Web 2.0 arrive dans les entreprises ! Cette complexité affecte les processus business, donc la sécurité du système d’information. En 2007, les deux tiers des vulnérabilités découvertes ont concerné des applications Web. Et selon une enquête que nous avons menée l’an dernier, l’usage des outils Web 2.0 tels que les blogs, les wikis et les flux RSS constitue une priorité à moyen terme pour 25 % des entreprises américaines et européennes.

En fait, les entreprises sont confrontées à deux questions : d’une part, comment utiliser le Web 2.0 pour le business, dans une logique de collaboration en temps réel ? D’autre part, dans un tel contexte, comment gérer la sécurité pour les collaborateurs qui utilisent le Web 2.0 ? Sur le premier point, beaucoup d’entreprises ont investi sur Second Life et s’intéressent aux réseaux sociaux. Il faut donc renforcer la sécurité, ne serait-ce que parce que les technologies sont plus complexes et qu’il est facile de faire des erreurs. Par exemple, une technologie comme Ajax reste très difficile à tester. De même, avec le rich media et les outils interactifs, véhicules de propagation de programmes malveillants, il est difficile de détecter toutes les menaces.

BPSI. Les DSI doivent-ils vraiment s’inquiéter ?

C. W. Oui, si le Web 2.0 est utilisé pour des applications business. Il faut notamment prendre en compte l’ensemble du cycle de vie des applications, du design (impact sur les architectures) jusqu’au fonctionnement opérationnel (test de péné­tration, outils de protection de type firewalls) en passant par le développement (analyse de code et test). Pour les DSI, il faut reconnaître qu’il est difficile de bien gérer cette problématique dans la mesure où, avec le Web 2.0, les utilisateurs réclament davantage de liberté, ce qui entre en contradiction avec le nécessaire contrôle de la sécurité, par définition contraignante.

BPSI. Comment faire ?

C. W. Si les DSI autorisent l’usage des outils Web 2.0 dans leur entreprise, il faut se concentrer sur trois points. D’abord, mettre en œuvre des mécanismes de sécurité adaptés, par exemple des outils de filtrage Web. Ensuite, il faut étudier l’activité Web de manière à détecter le plus en amont possible tout dysfonctionnement. Si la moitié de la bande passante est utilisée pour des usages non professionnels, il faut agir ! Troisième domaine pour lequel il faut être attentif : le risque d’atteinte à la réputation de l’entreprise et à la confidentialité des informations, avec les outils de types blogs, wikis, réseaux sociaux. Cette nouvelle donne impose de faire évoluer les chartes Internet pour prendre en compte le rich media et les réseaux sociaux. Faut-il les autoriser ou non ? La charte doit être claire sur ce point.

BPSI. Que doit répondre un DSI à une direction fonctionnelle qui insiste pour qu’il mette en place des technologies Web 2.0 ?

C. W. La première réponse du DSI doit être la suivante : « Prouvez-moi le retour sur investissement business et démontrez-moi comment vous allez générer des revenus supplémentaires pour l’entreprise. » Si la direction métier est incapable de répondre, il faut dire non, du fait du niveau de risques intrinsèques liés aux technologies Web 2.0. Si c’est la direction des ressources humaines qui souhaite généraliser l’usage des blogs et des wikis, arguant du fait que, sinon, l’entreprise ne pourra pas attirer les jeunes, ce qui est probablement vrai, le DSI peut accepter, mais il faudra alors que la DRH précise quelles sont les limites et les principes d’une politique acceptable. Lorsque l’on constate des dérives, par exemple un usage immodéré de sites de partage de vidéos, il faut aller voir le manager de celui ou de ceux qui agissent de cette façon, si possible avec des éléments chiffrés montrant par exemple l’impact sur la bande passante... et le surcoût pour l’entreprise. C’est généralement efficace. Et de toute façon moins cher que d’acheter de la bande passante supplémentaire !

Une affaire de mesure

Il existe deux grandes catégories d’indicateurs : d’une part, les indicateurs opérationnels qui mesurent le fonctionnement au jour le jour des contrôles de sécurité. D’autre part, les indicateurs business qui mesurent les impacts métiers et l’efficacité de la politique de sécurité. Les mesures opérationnelles ou de performance renforcent la crédibilité : le RSSI sait où il en est et tout est sous contrôle. Les mesures business, elles, répondent à un objectif de visibilité : le RSSI comprend les impacts business et aide à la prise de décision stratégique. « Les indicateurs opérationnels ont un but tactique et sont de nature quantitative, à destination des responsables sécurité. Les indicateurs business sont plus stratégiques, plus orientés vers la prise de décision et de nature analytique, à destination des managers et de la direction générale », précise Khalid Kark, analyste chez Forrester Research, qui définit une échelle de maturité des indicateurs, que l’on caractérise par quatre niveaux : le niveau 1 correspond à des actions correctives et une difficulté à savoir quoi mesurer. Le niveau 2 correspond à la définition d’indicateurs de base, le niveau 3 à des processus optimisés de collecte des données à destination des entités métiers, le niveau 4 inclut des outils plus performants de risk management.

Exemples d’indicateurs opérationnels : nombre de vul­nérabilités, pourcentage de matériels utilisés conformes aux standards de sécurité de l’entreprise, nombre d’incidents de sécurité selon leur criticité, nombre d’utilisateurs ayant fait l’objet d’une sensibilisation à la sécurité, nom­bre de comptes mails orphelins, proportion des ressources couvertes par un plan de secours...

Exemples d’indicateurs business : perte potentielle liée à une vulnérabilité, nombre d’heures perdues du fait de l’arrêt d’une application, nombre d’appels au help-desk, perte moyenne par jour en cas de destruction du centre informatique, liste des risques critiques...

Gouvernance, risques et contrôle : cinq tendances de fond
Tendances Pourquoi ? Quel impact ? Best practices
 Contrôle accru de la part des actionnaires
  • Évolution des politiques des
    agences de notation
  • Activisme des actionnaires
  • Exigences de rentabilité des fonds d’investissements
  • Besoin de justifier la politique de risk management de l’entreprise
  • Impact direct sur la rentabilité des capitaux investis
  • Comprendre les motivations des actionnaires
  • Justifier les progrès en démontrant les bénéfices business, en se basant par exemple sur la grille de risk management de Standard & Poor’s (*) 
 Réglementations plus contraignantes
  • Exemples récurrents de
    crises
  • Impact sur les consommateurs et l’opinion publique
  • Renforcement des
    réglementations existantes
  • Création de nouvelles
    contraintes
  • Promouvoir/respecter les standards
  • Pratiquer une veille sur les changements réglementaires 
Estompage des frontières entre gouvernance, risques et contrôles 
  • Changements réglementaires
  • Changements organi­sationnels
  • Davantage d’interdépendance entre les silos
  • Exigences de communication
    et de collaboration
  • Étudier l’impact des chan­gements organisationnels
  • Renforcer les compétences
    en communication
  • Identifier les dysfonc­-
    tionnements
 Difficulté à justifier les budgets
  • Incertitude économique
  • Complexité de formuler la proposition de valeur
  • Rentabilité à long terme
  • Allongement du cycle de
    décision
  • Davantage d’efforts à fournir pour démontrer la proposition de valeur
  • Identifier les gains à court et long terme
  • Démontrer la valeur business aux directions fonctionnelles et managers
Emergence des exigences de responsabilité sociale d’entreprise 
  • Effet de mode
  • Développement de
    standards
  • Préoccupations des
    investisseurs et des
    directions générales
  • Davantage de reporting
  • Besoin de comprendre les points de vue des actionnaires
  • Extension du domaine
    d’appli­cation de la responsabilité sociale d’entreprise
  • Améliorer les processus de reporting et de contrôle
  • Impliquer les spécialistes de la responsabilité sociale d’entreprise dans les processus de risk management
  • Réaliser des benchmarks
(*) La grille de risk management de Standard & Poor’s définit quatre niveaux : faible (manque de contrôles, incapacité à gérer l’exposition aux risques) ; adéquat (management des risques en silos, capacité à gérer les risques majeurs) ; fort (vision globale des risques de l’entreprise, focus sur le contrôle des pertes) ; excellent (vision globale des risques, focus sur l’optimisation du retour sur investissement de la sécurité).
Source : Forrester Research

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Philippe Rosé

Philippe Rosé

Docteur en sciences économiques et auteur d’une vingtaine d’ouvrages sur le management des systèmes d’information, Philippe Rosé est rédacteur en chef des publications Best Practices.

Nos Ouvrages

  • La cybersécurité 
en 250 questions

    Les cyberattaques n’ont jamais occasionné autant de dégâts dans les entreprises. Et les perspectives n’encouragent pas à l’optimisme. Comment nmieux se protéger ? Ce guide pratique regroupe les 250 questions que doivent se poser les responsables sécurité, les DSI et les directions générales. Avec des
    réponses concrètes…

  • IT Benchmark
Rapport annuel - 2019

    La Shadow Information, ensemble d’informations que l’on ne trouve pas dans les médias, mais qui présentent une valeur pour la gestion opérationnelle de l'écosystème de l'IT. Ces contenus sont bien sûr accessibles à tous, mais cela demande énormément de temps et de ressources pour les trouver, les lire et se les approprier : les équipes de IT Benchmark le font pour vous !

  • Best Practices
Relations fournisseurs

    La relation avec les fournisseurs est probablement ce qu’il y a de plus complexe à gérer pour un DSI. Autant, pour les problématiques technologiques, on peut s’appuyer sur des standards, autant les interactions avec les fournisseurs, qui comportent une part d’incertitude, d’ambiguïté et de liens personnels, sont délicates à normaliser.

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris