Les rapports du CLUSIF sont toujours utiles,même si ils sont issus de courants différents et parfois contradictoires; chacun peut en tirer ses propres conclusions.
La norme 2700x est arrivée à maturité parce que issue d'années de pratiques dont elle est la collection mais par ce fait même elle est décalée dans le temps et ne prend pas en compte les nouveaux changements.
Il y a assez peu de volonté de normalisation en France (nous en sommes pas la Japon !) et effectivement peu de sociétés utilisent cet argument pour investir dans le domaine de la sécurité mais l'investissement est faible pour des raisons plus profondes, j'en décris brièvement deux :
la première c'est parce qu'une des clefs est le lien avec le business; un patron n'investira pas parce qu'il existe une faille potentielle mais parce que cette faille menace une part identifiée et quantifiée de son CA; combien de PSSI sont-elles argumentées dans cette direction ? Très peu dans les faits pour des raisons de compétence (la plupart des RSSI sont de culture informatique) et d'organisation (on pourra y revenir).
la deuxième c'est qu'il faut être en connexion avec les préoccupations de son temps; nous vivons une époque charnière dans l'informatique, plus dans son utilisation que dans sa technicité, et donc dans la sécurité des informations qu'elle colporte; c'est une période chaotique génératrice de nouveaux paradigmes.
L'Entreprise 2.0 est une lame de fond qui est en train de bouleverser notre vie professionnelle; en fait c'est l'entreprise toute entière qui change faisant de la collaboration le nerf de la croissance; des informations qui étaient jusque là secrètes doivent être partagées et donc divulguées; seules une petite partie d'entre elles doit rester cachée.
C'est la logique de l'aéroport .. tout le monde accède mais dès qu'on veut être plus précis, accéder à tel avion, il faut montrer son billet; c'est la vraie mort de la sécurité périphérique.
Et puis il y a l'arrivée des solutions de type Cloud et Saas qui aura deux conséquences, d'une part marginaliser un peu plus la DSI car ces offres sont proposées directement aux utilisateurs (dès à présent la majorité des budgets informatiques ne passe plus par la DSI) et d'autre part décaler le problème de la sécurité du SI vers d'autres problématiques : une problématique de type sûreté, SLA et audit des fournisseurs et une problématique visant à définir ce coffre fort central des informations qui ne doivent pas être diffusées.
On imagine bien que dans ce nouveau cadre , les leviers ne seront les mêmes; quid du RSSI, "noyé" au sein d'une DSI de moins en moins puissante ......
C'est aussi une chance pour ceux qui sauront prendre le train en marche et donner une vision "positive" de la sécurité participant à la création de la valeur en proposant une démarche qui accompagne le business.