Entre 2004 et 2006 des progrès notables avaient été fait,en particulier dans le domaine de la formalisation des politiques et des chartes de sécurité.
Mais depuis, il semble bien que la mise en application concrète de ces politiques soit restée un voeu pieu.;40 % des entreprises ne disposent toujours pas de plan de continuité d’activitépour traiter les crises majeures,contre 42 % en 2006.
Et 30 % d’entre elle disent ne pas être en conformité avec la Loi Informatique et Liberté…
Pour autant, la menace ne faiblit pas et notre enquête montre de nouveau que les malveillances et les incidents de sécurité sont bien réels, avec une présence toujours active des attaques virales, des vols de matériel,et un accroissement des problèmes de divulgation d’information et des attaques logiques ciblées.
Et l’actualité récente n’a cessé de démontrer les graves impacts des déficiences en matière de sécurité (fraude bancaire, divulgation de données personnelles, etc.);
Et c'est bien là le problème, la perception des risques est faible du côté des entreprises et quand elle est perçue, notamment par les RSSI, sa justification est plus technique que liée au business ce qui n'est pas sans poser des problèmes quant à la pérennité du niveau de protection.
Je vous propose d'aborder le sujet à la réunion de rentrée du CLUSIR en traitant de l'étude de risque et de sa raison d'être et le lien qu'il peut y avoir avec une norme désormais reconnue, la norme 2700x.
Programme :
Introduction : Evolutions du CLUSIR Grenoble
Sujet 1 : L' étude de risque est-elle une étape nécessaire pour conduire une politique de sécurité informatique ?
Sujet 2 : L'ISO 2700x est une norme reconnue : quel lien avec les risques réels de l 'entreprise, comment l'utiliser de façon pragmatique.