Accueil Politique de sécurité, normalisation et Cloud

Politique de sécurité, normalisation et Cloud

Gouvernance et politiques de sécurité, normalisation ISO 2700x et métriques-tableaux de bord feront certainement partie des sujets débattus aux Assises.
Si, dans une grande majorité, les participants au congrès sont engagés dans ces voies, ce n’est pas toujours encore le cas de leurs fournisseurs, de leurs clients, de leurs partenaires, en bref de l’écosystème qui les entoure. Notamment les PME partenaires qui ne se sentent généralement pas concernées par l’application parfois coûteuse d’une ISO “sécurité” (et qui souvent risque de révéler des problèmes organisationnels lors de sa mise en oeuvre), quant aux tableaux de bord et indicateurs de sécurité, ils font soit très souvent défaut, soit ils s’avèrent mal adaptés ou mal définis … Et le Cloud, bien sûr. L’informatique dans les nuages pour des DSI, CSO et RSSI qui veulent garder les pieds sur terre. “Le Cloud –explique l’un des participants- c’est un peu comme la virtualisation : pour l’instant, on regarde, on évalue, parfois même on se lance dans des maquettes. Mais doucement” . Car à l’exception des “clouds internes” , que souvent seule l’organisation d’une grande entreprise peut supporter, ce type d’externalisation a encore du mal à passer auprès notamment des responsables de moyennes entreprises. Pour des raisons juridiques parfois avec entre autres, la problématique de la signature de contrat qui doit s’accompagner d’assurances quant aux possibilités de recours. Techniques d’autres fois, sachant, par exemple, qu’il est parfois impossible d’auditer sérieusement les prestataires de services dont les data centers sont situés à l’étranger. On “cloudifie” donc en priorité les postes budgétivores et qui n’ont pas ou peu d’impact direct sur l’appareil de production à savoir la messagerie, l’archivage … Pour les outils métiers, les initiatives bien qu’encourageantes sont encore timides, et les offres des prestataires “cloud” jugées peutêtre encore trop propriétaires, pas assez souples pour permettre un changement de fournisseur de manière rapide et efficace.