Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

SOMMAIRE 1- Introduction.......................................................

SOMMAIRE 1- Introduction..................................................................................................................................... 2- Notions de « culture » et de « culture du risque »...................................................................... 2.1. Le constat............................................................................................................................. 2.2. Qu’est-ce que la culture ?................................................................................................... 2.3. Les risques informatiques et informationnels................................................................... 2.4. Culture du risque informatique et informationnel............................................................. 2.5. Quelques apports philosophiques, scientifiques et humanistes....................................... 2.6. Exploitation des résultats de l’enquête 2009...................................................................... 3 - Bilan de la culture des risques..................................................................................................... 3.1. Préambule........................................................................................................................... 3.2. Enjeux majeurs et risques visés......................................................................................... 3.3. La culture par le management........................................................................................... 3.3.1. Les actions de pilotage prioritaires.................................................................................... 3.3.2. Les actions opérationnelles prioritaires............................................................................ 3.4. Renforcement de la veille et du contrôle........................................................................... 3.5. Avis d’expert : l’impact des Directives Nationales de Sécurité (Diane BAUDRY – Hapsis)................................................................................................... 3.6. La culture par les ressources humaines........................................................................... 3.6.1. Rôle des professionnels...................................................................................................... 3.6.2. Taille des équipes................................................................................................................ 3.6.3. Coopération avec les métiers et autres activités............................................................... 3.6.4. Avis d’expert : casting des membres d’une cellule de gestion de crises (Isabelle TISSERAND – Coordinatrice du Cercle).............................................................. 3.7. Quelle maturité globale ?.................................................................................................... 3.8. En synthèse.......................................................................................................................... 4 - Développement de la culture des risques................................................................................... 4.1. Risques majeurs et implication des décideurs................................................................... 4.1.1. Quels risques majeurs à intégrer ?..................................................................................... 4.1.2. Quelle influence et quelle implication des décideurs ?..................................................... 4.2. Quelles actions les plus efficaces ?.................................................................................... 4.2.1. Pour lutter contre la cybercriminalité................................................................................ 4.2.2. En termes de communication............................................................................................. 4.2.3. En termes de sensibilisation............................................................................................... 4.2.4. Avis d’expert : les apports de la communication engageante (Michel GERARD – PDG Conscio Technologies)................................................................ 4.3. Quelle implication des acteurs publics et privés ?............................................................ 4.3.1. Les pouvoirs publics............................................................................................................ 4.3.2. Les acteurs privés............................................................................................................... 4.3.3. Avis d’expert : « L’impact des médias sur la culture des risques. » (Nicolas ARPAGIAN)............................................................................................................ 4.4. En synthèse.......................................................................................................................... 5 - Conclusion...................................................................................................................................... 6 - Annexe 1 : Rubriques d’information / sensibilisation ................................................................ 7 - Annexe 2 : le panel......................................................................................................................... 7.1. Secteurs d’activités.............................................................................................................. 7.2. Titres et fonctions................................................................................................................ 7.3. Entités d’appartenance....................................................................................................... 7.4. Couverture géographique.................................................................................................... 7.5. Rémunération...................................................................................................................... Livre Bleu des Assises de la Sécurité et des Systèmes d’Information - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Oct 2009 Bilan et développement de la culture « risques informatiques et informationnels » 1 2 4 4 5 6 7 8 9 10 10 10 12 12 15 17 17 19 19 20 21 23 24 27 28 28 28 29 29 30 30 31 33 35 35 35 37 39 40 41 42 42 42 43 43 43 1- INTRODUCTION Depuis 2004, les enquêtes du Cercle Européen de la Sécurité et des Systèmes d’Information analysent l’évolution des activités et des rôles des professionnels de la Sécurité des Systèmes d’Information (SSI). Véritable observatoire d’une fonction clé des entreprises et administrations, elles alimentent surtout une réflexion autour de thématiques majeures sélectionnées par le Comité de Pilotage du Cercle. Nous avons ainsi abordé : • le management stratégique des cyber-risques (2004) • les indicateurs et tableaux de bord en SSI (2005) • les grands défis des professionnels de la SSI (2006) • les pouvoirs en sécurité / sûreté (2007) • la sécurité globale (2008) L’année dernière, nous avons traité le thème de la Sécurité globale qui, au-delà des questions de gouvernance, pose clairement la question de la globalisation des risques et de leur appréhension par l’ensemble des populations, en tout lieu, à tout instant. La 1ère décennie du XXIème siècle aura été celle de tous les dangers. Les attaques terroristes du 11 septembre 2001, les pandémies, la crise, les fraudes financières, le réchauffement climatique, les prises d’otages et la piraterie, les atteintes à l’enfance, les vols de données, la cybercriminalité, etc. montrent un univers rongé par la peur. Tel Pythagore qui affirmait il y a 2500 ans que « Tout est nombre ! », devons nous aujourd’hui admettre l’idée que « Tout est risque ! » ? A contrario, et en réponse à cette situation, l’exigence de sécurité est telle, qu’elle conduit parfois à des excès : le rejet du risque, voire la quête du « risque zéro ». Le principe de précaution est institu- tionnalisé et le marketing de la sécurité bat alors son plein. La fonction Sécurité gagne, mécaniquement, en notoriété. Les lois et règlements deviennent pléthoriques et de plus en plus liberticides. Par ailleurs, l’arsenal technologique n’est pas toujours efficace et reste assez aisément contourné. Certains secteurs d’activité, les PME restent en retard en termes de gouvernance des risques. Mais à quoi tout cela rime-t-il au fond ? La dépendance de la Société à l’informatique et à Internet ne doit-elle pas aussi s’accompagner d’une véritable « culture des risques informatiques et informationnels » ? La sécurité réelle, ou du moins le sentiment de sécurité, ne repose-t-elle pas, comme toujours, sur l’individu, quel qu’il soit (de l’adolescent au dirigeant) ? Cependant : • A-t-il seulement conscience des menaces et des impacts ? • Quels sacrifices est-il prêt à consentir pour être, ou se sentir, en sécurité ? • Connaît-il les champs de responsabilité dans le domaine ? • Peut-il faire confiance aux informaticiens et opérateurs, comme aux outils de protection, garants de la sécurité opérationnelle ? • Comment lui faire accepter les règles et contraintes de prévention et protection ? • Que doit-il faire face à une situation anormale ou dangereuse ? • Une sécurité transparente, intégrée et gratuite est-elle la solution ? A quelles conditions ? • Comment peut se développer une « culture des risques » liés aux technologies de l’information ? Le thème de l’année « Bilan et développement de la culture des risques informatiques et information- nels » est encore une fois ambitieux. Nous l’aborderons, comme toujours, avec humilité, en nous appuyant sur les résultats d’une enquête menée en juin et juillet 2009 auprès d’un panel de 240 professionnels. Livre Bleu des Assises de la Sécurité et des Systèmes d’Information - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2 Bilan et développement de la culture « risques informatiques et informationnels » Oct 2009 Livre Bleu des Assises de la Sécurité et des Systèmes d’Information - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - uploads/Management/ le-livre-bleu-des-assises-2009.pdf