INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique, c est votre problème aussi! Les organisations prennent de plus en plus conscience des risques commerciaux et juridiques qu elles encourent du fait des vulnérabilités de leur système informatique. Et elles sont encore loin d imaginer le pire. InfoSafe, la nouvelle formation en management de la Sécurité des Systèmes d Information proposée par l ICHEC et les FUNDP, va les aider à relever le défi de la sécurité. Dans le cadre de la création du programme INFOSAFE, une table ronde a réuni les responsables de ce programme, Jacques FOLON (ICHEC), Yves POULLET et Laurent SCHUMACHER (FUNDP), dont l objectif est d aider à relever le défi de la sécurité informatique tant pour les entreprises que pour les administrations publiques. Quel est l état de la sécurité informatique en Belgique aujourd hui? Jacques FOLON : Les organisations font face à un paradoxe. D une part elles mentionnent majoritairement ne pouvoir se passer plus d un jour de leurs applications informatiques sans subir de lourds dommages. Mais en même temps, 34 % d entre elles ne disposent d aucun plan de secours! A titre d exemple, le Clusib (Club de la Sécurité Informatique Belge) estime qu à ce jour, 2/3 des entreprises belges ne seraient pas en état de survivre à un sinistre informatique important. La criminalité informatique (interne et externe) est de plus en plus fréquente et les entreprises attendent trop souvent un sinistre pour s intéresser sérieusement à cette question. En effet, les problèmes liés à la sécurité sont trop souvent vus comme une sorte de manque à gagner, une perte de temps. Cette vision est réductrice! Les organisations ont des obligations légales qu elles oublient trop souvent et les risques liés à une absence de sécurité peuvent entraîner une responsabilité juridique et commerciale majeure. De plus, quel sera l impact sur les partenaires d une organisation paralysée par sa négligence? Quelques chiffres frappants issus de la dernière enquête du Clusib 2006 : seules 40% des entreprises disposent de règles écrites pour la sécurisation des données sensibles et à peine la moitié d entre elles disposent d un budget de sécurité informatique en croissance. 31 % des 1
grandes entreprises n ont pas fait procéder à la validation de leur système de protection contre les intrusions par une entreprise spécialisée en la matière C est inquiétant vu que le rapport montre aussi une croissance considérable de la criminalité informatique : vols de matériel et de données, piratage de logiciels Néanmoins, les entreprises sont de plus en plus conscientes de l importance d une meilleure organisation et d un meilleur suivi d une politique de la gestion de la sécurité informatique. Il leur reste à passer à l action pour que la sécurité intègre la culture d entreprise. Pourquoi avez-vous créé cette formation? Yves POULLET : Diverses obligations de sécurité s imposent déjà à certains acteurs de la société belge. Ainsi, les utilisateurs du Registre national ou de la Banque Carrefour de la Sécurité Sociale doivent compter dans leurs rangs un préposé à la sécurité. Dans le secteur médical, l Arrêté Ministériel fixant les critères d agrément des gestionnaires de données médicales impose une formation en sécurité. Enfin, la Commission de La Vie Privée a récemment émis une recommandation visant à la désignation d un Conseiller en sécurité au sein de toute entreprise traitant des données personnelles. Des formations, il n en manque pas. Jacques FOLON : La sécurité requiert une approche pluridisciplinaire. Or, dans le paysage belge l offre de formation est morcelée. C est sur la base de ce constat que les Facultés Universitaires Notre-Dame de la Paix de Namur et l ICHEC ont décidé de créer un programme complet qui couvre l ensemble de la problématique. Nous avons observé que la plupart des formations organisées en Belgique sont essentiellement techniques et qu elles sont généralement organisées par des fournisseurs de solutions. Pourtant une bonne gestion de la sécurité informatique impose la maîtrise des différents aspects liés à l informatique tant hardware que software, aux contraintes juridiques et à la sécurité dans la gestion de l entreprise. Dans le cadre de ces réflexions il est donc devenu évident que pour être efficace, une formation en sécurité des systèmes d informations doit intégrer les aspects juridiques, techniques et organisationnels. Quel est le rôle des différents acteurs participant à cette formation? Jacques FOLON : Les acteurs se sont imposés naturellement du fait du contenu de la formation. Chaque institution apporte ses compétences. Ainsi, au sein de l Université de Namur Le CRID (centre de recherches informatique et droit) est un centre d excellence au niveau belge et européen en droit des nouvelles technologies. 2
L'Institut d'informatique, pionnier en Europe de l'enseignement de l'informatique, se focalise de son côté sur les systèmes d'information et de communication. L ICHEC, reconnue pour sa pédagogie intégrant les aspects théoriques et pratiques apporte son expertise en gestion en général, et dans les technologies de l information en particulier. Quelle est l originalité de cette formation? Laurent SCHUMACHER : Ce programme repose sur trois piliers : Droit, Informatique et Gestion articulés de manière pluridisciplinaire. Les thématiques sont abordées de manière à la fois conceptuelle mais également concrète. En particulier, cela permet d analyser en profondeur les différentes implications d une stratégie de sécurité et d une analyse de risques efficaces. Un week-end résidentiel permet aux participants de mobiliser l ensemble de leurs connaissances et les compétences acquises durant la formation, en les confrontant à un cas pratique pour lequel ils doivent définir les réactions appropriées. Tout au long de la formation, les participants travaillent sur le «plan de sécurité» de leur entreprise, ce qui constitue une valeur ajoutée importante du programme.. Quels sont les principaux problèmes qui se posent au niveau strictement informatique? Laurent SCHUMACHER : Virus, failles du système d exploitation, pénétration de réseaux câblés ou sans fil, obsolescence des algorithmes de cryptage, etc. Les media, tant généralistes que spécialisés, fourmillent chaque jour de descriptions de nouvelles vulnérabilités dans les systèmes d information, plus vite exploitées les unes que les autres. L enjeu d InfoSafe, au niveau informatique, est de prendre du recul par rapport à cette actualité brûlante pour introduire la sensibilité à la sécurité dans les différents composants d un système d information, logiciels, équipements, bases de données, infrastructure de communication, si possible en amont de tout développement ou déploiement, afin que le respect d un niveau de sécurité, à définir en adéquation avec le «core business» de l organisation, fasse partie intégrante des fonctionnalités du système «from day one», au même titre que ses autres caractéristiques (performance, convivialité, coût, etc.). En quoi les aspects juridiques jouent-ils un rôle en matière de sécurité? Yves POULLET : De nombreux acteurs ne se rendent pas compte que la loi impose des obligations en matière de sécurité. Ainsi, dès qu'on est en présence de données à caractère personnel, la loi exige de prendre des mesures de sécurité techniques et organisationnelles. Si les mesures prises ne sont pas adéquates, on risque une sanction pénale et de voir sa 3
responsabilité engagée. Il est important aussi de connaître tous les comportements que la loi a érigés en infractions dans le cadre de la loi sur la criminalité informatique. Quels sont les problèmes organisationnels qui se posent pour implémenter une politique de sécurité? Jacques FOLON : Une politique de sécurité n est rien sans la compréhension et l adhésion de tous les membres de l entreprise. L Humain est à la fois la force mais également la maillon faible! Dans ce contexte, sans une implication forte de la direction générale et en l absence de l intégration de la sécurité dans la stratégie de l entreprise, toute politique de sécurité risque de rester lettre morte. De plus, il est indispensable de conscientiser le personnel aux risques liés à la sécurité, de mettre en place dans l organigramme des responsables à tous les niveaux et des processus, d établir des procédures tant préalables qu en ce qui concerne la réaction a des incidents de sécurité (sans oublier les audits de sécurité et les tests de pénétration). Une politique de sécurité théorique et non intégrée par l ensemble du personnel et qui ne serait pas soutenue par des procédures appropriées serait inefficace. Comment expliquez-vous le manque de prise de conscience des managers actuellement? Laurent SCHUMACHER : Il y a clairement un effet «cela n arrive qu aux autres» couplé à une tendance à minimiser les conséquences d incidents informatiques. Quid d un incendie, du vol d un ordinateur portable, de la disparition de secrets d affaires? Il y a une sorte d inconscience quant aux risques réels liés aux conséquences d incidents informatiques qu ils soient dus à des aléas extérieurs tels qu incendies, tempêtes ou a des attaques délibérées de criminels informatiques. Les managers font semblant de croire que leurs installations sont sécurisées et ne prennent pas en compte les risques réels liés par exemple aux vols de données ou de secrets d affaires. Le risque existe-t-il vraiment en Belgique? Yves POULLET : Les incidents sont peu connus parce que la réglementation actuelle n impose pas aux entreprises d informer le public lorsqu elles sont victimes d incidents de sécurité. Néanmoins des cas de vols d ordinateurs portables, d attaques informatiques et de vols de base de données par des employés sont malheureusement assez fréquents. Aux USA en 2006, plus de 150 millions d enregistrements de données personnelles ont été volées et tout porte à croire que la situation en Europe est similaire. 4
Pourquoi les entreprises devraient-elles investir dans la sécurité informatique, et dans la formation? Jacques FOLON : Le risque lié à l absence de sécurité peut entraîner une condamnation pénale dans le cadre de la protection des données personnelles. De plus, certaines réglementations sectorielles (Bâle II pour le secteur bancaire, Sarbanes-Oxley pour les filiales de sociétés américaines) imposent déjà aux entreprises concernées de mettre en place une politique de sécurité adéquate. En outre, des discussions au niveau européen envisagent d imposer aux entreprises, comme aux USA, de communiquer immédiatement tout incident informatique, comme le vol de données, et de rendre obligatoire la fonction de responsable de la sécurité informatique (Security Manager). Ces risques bien réels pourraient évidemment porter atteinte à la réputation d une entreprise. L entreprise devrait saisir l opportunité de communiquer à propos de ses investissements en sécurité informatique. Aujourd hui, c est encore un avantage concurrentiel dont elle peut tirer un bénéfice assuré! Jacques FOLON est Licencié en Droit et en droit fiscal, agrégé en droit, maître en management public, professeur ICHEC-ISFSC, chargé de cours à la Louvain School of Management et à l Université de Metz, Managing Partner Eucoprise et Partner JITM. Yves POULLET est Professeur aux Facultés de Droit des FUNDP et de l ULg Liège et Directeur du Centre de Recherches Informatique et Droit (CRID) FUNDP. Laurent SCHUMACHER est Professeur à l Institut d Informatique des FUNDP. Vous trouverez de plus amples renseignement sur le site de la formation : www.infosafe.be 5