Devenue le coeur de l'organisation, l'IT se doit d'être résiliente pour que l'organisation elle-même soit résiliente. Toute menace contre l'IT est une menace contre l'existence même de l'organisation. Tous les risques doivent donc être traités et donc, pour commencer, identifiés. Cette approche sera au coeur de la conférence « Sécurité globale de l'IT - De la gestion des risques à la résilience » organisée par CIO le 19 novembre 2019 à Paris.
Plusieurs manières des gérer les risques pesant sur l'IT sont possibles. Certains risques pourront (ou même devront) être externalisés : c'est le rôle de la couverture de risques par des assureurs. De plus, l'économie numérique est surtout une économie de la confiance. Si les clients perdent leur confiance dans une entreprise, celle-ci peut disparaître. La communication de crise acquiert ainsi, en cas d'incident, un caractère essentiel.
Les risques IT sont bien au-delà des cyber-menaces
Le premier risque majeur est classique pour les DSI et RSSI : il s'agit des cybermenaces telles que les tentatives de piratage. De la même façon, un cyber-risque parfois négligé est la négligence ou la faute des utilisateurs « à pouvoir », y compris des prestataires d'ESN intervenant sur le SI de l'entreprise.
Mais, bien entendu, il ne faut ni oublier ni négliger les autres formes de risques. Les risques physiques (inondation, incendie...) peuvent ainsi sembler être passées au second plan à l'heure du cloud sauf que se connecter au cloud suppose d'une part une connexion à Internet et, d'autre part, que les localisations des données restent maîtrisées. Le cloud accroît également le risque fournisseur puisque la dépendance vis-à-vis de celui-ci est augmentée. Et, évidemment, le risque juridique à l'heure du RGPD demeure important et potentiellement coûteux.
Commentaire