- L'IT, soutien essentiel de la stratégie de Carrefour
- apps-14163-852eb4d7-e45b-4390-8919-da15131800d2-80f805b9-7d34-425e-a1bb-3ed1fb825859-59682b30-18a5-4dab-9fcf-cb1e2efca178
- Crisotech veut convertir toutes entreprises quelle que soit leur taille à la gestion de crise
- FIC 2021 - Deveryware Crisotech
- UpSlide intègre la bibliothèque de visuels Getty Images dans son add-in Microsoft pour simplifier la création des présentations PowerPoint
- apps.14163.852eb4d7-e45b-4390-8919-da15131800d2.80f805b9-7d34-425e-a1bb-3ed1fb825859.59682b30-18a5-4dab-9fcf-cb1e2efca178
Par Jean-Laurent Santoni Directeur du Développement GRAS SAVOYE RISK CONSULTING DRC – Direction Risk Consulting
Au cours des dernières années nous sommes passés progressivement des architectures fermées à des architectures ouvertes dont la dernière manifestation la plus significative n’est autre que le “Cloud”. Par voie de conséquence les audits de sécurité traditionnels, basés essentiellement sur les infrastructures physique et logique ont évolué vers l’audit des applicatifs tant au regard des données gérées qui constituent désormais une bonne part du patrimoine de toute organisation, qu’au regard des relations contractuelles des acteurs. De plus et compte tenu de l’évolution extrêmement rapide des technologies et des processus associés, on se voit aujourd’hui confronté à la nécessité de mettre en place une évaluation dynamique de la sécurité qui plus est à des fréquences de plus en plus fortes. Associé à l’évolution des architectures, nous sommes également passés d’un calcul probabiliste des causes à l’approche déterministe de hiérarchisation des impacts. Autrefois l’on pouvait se limiter à identifier les causes entre accident, erreur ou malveillance, avant d’en mesurer les conséquences strictement techniques en matière de disponibilité, d’intégrité, de confidentialité et de preuve, avant d’en évaluer les conséquences finales économiques et non économiques comme la perte d’image ou des condamnations autres que financières. A ce jour il est indispensable d’analyser finement les impacts des risques afin de pouvoir les classifier et les hiérarchiser, de telle sorte à choisir le bon traitement de ces risques (éviter, diminuer, accepter ou transférer). La notion d’acceptation du risque devient courante, avec la notion associée de risque résiduel qu’il est bien évidemment indispensable d’avoir bien mesuré quant à ses impacts. Cette notion de risque résiduel peut également servir de critère pour choisir parmi plusieurs options possibles. En ce qui concerne les données, cette même évolution a fait que nous avons évolué d’une approche sauvegarde au cycle de vie des informations. Nous nous intéressons désormais véritablement à la valeur des informations qui monte et descend au fil du temps, est sujette aux fluctuations des niveaux de services, aux exigences des utilisateurs et des clients, aux besoins de continuité d'activité et à la variation des opportunités de marché et aux contraintes réglementaires, d’où la nécessité de prendre en compte les aspects de conformité en même temps que ceux liés à la sécurité. Enfin nous sommes passés d’une responsabilité pour faute à un défaut de conformité à la norme ou autre réglementation. Au début était la faute et la démonstration du préjudice et du lien de causalité. Puis fut la responsabilité, du fait des choses et du défaut de conseils. Ensuite vint la création d’un risque, et l’indemnisation des lésés. Et maintenant arrive le défaut de conformité à une norme ou tout autre réglementation … et la sanction du marché et du régulateur. Bien entendu chacun n’est pas exclusif de l’autre
