Web 2.0 : les DSI doivent vraiment s’inquiéter

Rédaction

Rencontre avec Chenxi Wang, analyste, Forrester Research.

BPSI. Quel diagnostic portez-vous sur l’état de la sécurité applicative dans les entreprises ?

Chenxi Wang. On observe d’abord que les applications deviennent de plus en plus complexes : 37 % des entreprises sous-traitent leurs développements logiciels, il y a une forte demande pour les applications de mobilité, des architectures ouvertes et des outils collaboratifs.

Et le Web 2.0 arrive dans les entreprises ! Cette complexité affecte les processus business, donc la sécurité du système d’information. En 2007, les deux tiers des vulnérabilités découvertes ont concerné des applications Web. Et selon une enquête que nous avons menée l’an dernier, l’usage des outils Web 2.0 tels que les blogs, les wikis et les flux RSS constitue une priorité à moyen terme pour 25 % des entreprises américaines et européennes.

En fait, les entreprises sont confrontées à deux questions : d’une part, comment utiliser le Web 2.0 pour le business, dans une logique de collaboration en temps réel ? D’autre part, dans un tel contexte, comment gérer la sécurité pour les collaborateurs qui utilisent le Web 2.0 ?

Sur le premier point, beaucoup d’entreprises ont investi sur Second Life et s’intéressent aux réseaux sociaux. Il faut donc renforcer la sécurité, ne serait-ce que parce que les technologies sont plus complexes et qu’il est facile de faire des erreurs.

Par exemple, une technologie comme Ajax reste très difficile à tester. De même, avec le rich media et les outils interactifs, véhicules de propagation de programmes malveillants, il est difficile de détecter toutes les menaces.

BPSI. Les DSI doivent-ils vraiment s’inquiéter ?

C. W.  Oui, si le Web 2.0 est utilisé pour des applications business. Il faut notamment prendre en compte l’ensemble du cycle de vie des applications, du design (impact sur les architectures) jusqu’au fonctionnement opérationnel (test de péné­tration, outils de protection de type firewalls) en passant par le développement (analyse de code et test).

Pour les DSI, il faut reconnaître qu’il est difficile de bien gérer cette problématique dans la mesure où, avec le Web 2.0, les utilisateurs réclament davantage de liberté, ce qui entre en contradiction avec le nécessaire contrôle de la sécurité, par définition contraignante.

BPSI. Comment faire ?

C. W. Si les DSI autorisent l’usage des outils Web 2.0 dans leur entreprise, il faut se concentrer sur trois points. D’abord, mettre en œuvre des mécanismes de sécurité adaptés, par exemple des outils de filtrage Web. Ensuite, il faut étudier l’activité Web de manière à détecter le plus en amont possible tout dysfonctionnement.

Si la moitié de la bande passante est utilisée pour des usages non professionnels, il faut agir ! Troisième domaine pour lequel il faut être attentif : le risque d’atteinte à la réputation de l’entreprise et à la confidentialité des informations, avec les outils de types blogs, wikis, réseaux sociaux.

Cette nouvelle donne impose de faire évoluer les chartes Internet pour prendre en compte le rich media et les réseaux sociaux. Faut-il les autoriser ou non ? La charte doit être claire sur ce point.

BPSI. Que doit répondre un DSI à une direction fonctionnelle qui insiste pour qu’il mette en place des technologies Web 2.0 ?

C. W. La première réponse du DSI doit être la suivante : « Prouvez-moi le retour sur investissement business et démontrez-moi comment vous allez générer des revenus supplémentaires pour l’entreprise. » Si la direction métier est incapable de répondre, il faut dire non, du fait du niveau de risques intrinsèques liés aux technologies Web 2.0.

Si c’est la direction des ressources humaines qui souhaite généraliser l’usage des blogs et des wikis, arguant du fait que, sinon, l’entreprise ne pourra pas attirer les jeunes, ce qui est probablement vrai, le DSI peut accepter, mais il faudra alors que la DRH précise quelles sont les limites et les principes d’une politique acceptable.

Lorsque l’on constate des dérives, par exemple un usage immodéré de sites de partage de vidéos, il faut aller voir le manager de celui ou de ceux qui agissent de cette façon, si possible avec des éléments chiffrés montrant par exemple l’impact sur la bande passante… et le surcoût pour l’entreprise. C’est généralement efficace. Et de toute façon moins cher que d’acheter de la bande passante supplémentaire !

Une affaire de mesure

Il existe deux grandes catégories d’indicateurs : d’une part, les indicateurs opérationnels qui mesurent le fonctionnement au jour le jour des contrôles de sécurité. D’autre part, les indicateurs business qui mesurent les impacts métiers et l’efficacité de la politique de sécurité.

Les mesures opérationnelles ou de performance renforcent la crédibilité : le RSSI sait où il en est et tout est sous contrôle. Les mesures business, elles, répondent à un objectif de visibilité : le RSSI comprend les impacts business et aide à la prise de décision stratégique.

« Les indicateurs opérationnels ont un but tactique et sont de nature quantitative, à destination des responsables sécurité. Les indicateurs business sont plus stratégiques, plus orientés vers la prise de décision et de nature analytique, à destination des managers et de la direction générale », précise Khalid Kark, analyste chez Forrester Research, qui définit une échelle de maturité des indicateurs, que l’on caractérise par quatre niveaux : le niveau 1 correspond à des actions correctives et une difficulté à savoir quoi mesurer. Le niveau 2 correspond à la définition d’indicateurs de base, le niveau 3 à des processus optimisés de collecte des données à destination des entités métiers, le niveau 4 inclut des outils plus performants de risk management.

Exemples d’indicateurs opérationnels : nombre de vul­nérabilités, pourcentage de matériels utilisés conformes aux standards de sécurité de l’entreprise, nombre d’incidents de sécurité selon leur criticité, nombre d’utilisateurs ayant fait l’objet d’une sensibilisation à la sécurité, nom­bre de comptes mails orphelins, proportion des ressources couvertes par un plan de secours…

Exemples d’indicateurs business : perte potentielle liée à une vulnérabilité, nombre d’heures perdues du fait de l’arrêt d’une application, nombre d’appels au help-desk, perte moyenne par jour en cas de destruction du centre informatique, liste des risques critiques…

Gouvernance, risques et contrôle : cinq tendances de fond
Tendances Pourquoi ? Quel impact ? Best practices
 Contrôle accru de la part des actionnaires
  • Évolution des politiques des
    agences de notation
  • Activisme des actionnaires
  • Exigences de rentabilité des fonds d’investissements
  • Besoin de justifier la politique de risk management de l’entreprise
  • Impact direct sur la rentabilité des capitaux investis
  • Comprendre les motivations des actionnaires
  • Justifier les progrès en démontrant les bénéfices business, en se basant par exemple sur la grille de risk management de Standard & Poor’s (*)
 Réglementations plus contraignantes
  • Exemples récurrents de
    crises
  • Impact sur les consommateurs et l’opinion publique
  • Renforcement des
    réglementations existantes
  • Création de nouvelles
    contraintes
  • Promouvoir/respecter les standards
  • Pratiquer une veille sur les changements réglementaires
Estompage des frontières entre gouvernance, risques et contrôles
  • Changements réglementaires
  • Changements organi­sationnels
  • Davantage d’interdépendance entre les silos
  • Exigences de communication
    et de collaboration
  • Étudier l’impact des chan­gements organisationnels
  • Renforcer les compétences
    en communication
  • Identifier les dysfonc­-
    tionnements
 Difficulté à justifier les budgets
  • Incertitude économique
  • Complexité de formuler la proposition de valeur
  • Rentabilité à long terme
  • Allongement du cycle de
    décision
  • Davantage d’efforts à fournir pour démontrer la proposition de valeur
  • Identifier les gains à court et long terme
  • Démontrer la valeur business aux directions fonctionnelles et managers
Emergence des exigences de responsabilité sociale d’entreprise
  • Effet de mode
  • Développement de
    standards
  • Préoccupations des
    investisseurs et des
    directions générales
  • Davantage de reporting
  • Besoin de comprendre les points de vue des actionnaires
  • Extension du domaine
    d’appli­cation de la responsabilité sociale d’entreprise
  • Améliorer les processus de reporting et de contrôle
  • Impliquer les spécialistes de la responsabilité sociale d’entreprise dans les processus de risk management
  • Réaliser des benchmarks
(*) La grille de risk management de Standard & Poor’s définit quatre niveaux : faible (manque de contrôles, incapacité à gérer l’exposition aux risques) ; adéquat (management des risques en silos, capacité à gérer les risques majeurs) ; fort (vision globale des risques de l’entreprise, focus sur le contrôle des pertes) ; excellent (vision globale des risques, focus sur l’optimisation du retour sur investissement de la sécurité).
Source : Forrester Research