J’accepte le risque

Depuis plusieurs années un domaine d’intérêt pour moi est la sécurité informatique, qui par défaut inclue la sécurité de simples documents personnels jusqu’à de l’information financière sensible.

Pendant plusieurs années, cette sécurité étant considéré peu importante, car les grands systèmes informatiques n’était qu’accessibles que par certain individu relié directement aux affaires des l’entreprise concernée (administrateur, etc.). En plus, ce qui simplifiait la situation, était le fait que ces grands systèmes informatiques centraux étaient limités à un rayon d’action simple à déterminer (une salle, un étage, une bâtisse), et donc, simple à contrôler.

Maintenant avec la venue de réseau commercial urbain, internationale ou même Internet et le nombre grandissant d’échanges et d’utilisateurs, le rayon d’action de ces systèmes informatiques devient de plus en plus complexe à contrôler.

Nativement, avec cette complexité grandissante, la sécurité de l’information contenue à même ces ordinateurs devient complexe à maîtriser. Pour ces différentes raisons, depuis quelque temps, des postes d’analyste et architecte en sécurité de l’information sont de plus en plus communs dans les entreprises d’aujourd’hui.

Ces experts ont souvent comme mission de faire l’analyse puis finalement un plan ou une architecture technologique répondant aux besoins et aux circonstances d’affaires des entreprises. Suivant ces études, des recommandations sont remises aux exécutifs, chargés de projet où toute autre personne en charge de prendre une décision.

Naturellement, certaines de ces recommandations provoquent des modifications qui à leurs tours peuvent engendrer des coûts. Voilà où commence, en général, les préoccupations des gestionnaires. Devrais-je effectuer les changements identifiés et si oui à quel point devrais-je accepter le risque et donc, n’implanter les recommandations identifiées.

Dans cette situation, voyant l’impact des coûts dans le budget et l’ajout de travail, certains gestionnaires acceptent les risques et vont de l’avant avec le projet. Est-ce que cela se produit à cause d’un manque de fonds ou un manque de connaissance.

Point importants à souligner, avec un tel choix (celui d’accepter les risques), les gestionnaires ne prennent donc la responsabilité de la sécurité de l’information. Que cela soit des données personnelles ou financières, leur appartenant ou pas, les gestionnaires d’entreprises acceptent pour nous tous le niveau de protection qu’ils jugent adéquat.

À quel moment devrions-nous nous interroger sur le niveau de protection de notre information personnelle ou financières et surtout à quel point une entreprise ou organisation possède-t-elle la capacité de faire un jugement éclairé sur cette situation. Ajouté à cela des contrats d’impartition outre-mer, des exploitants qui nous sont inconnus et méga contrat de ventes d’information ou de services.

À quel point savons-nous où est notre information et à quel point devrions-nous avoir la capacité de faire la vérification de nos données personnelles pour s’assurer qu’elles sont bel et bien protégées. Ou simplement qu’elles se retrouvent dans un environnement qui est près ou à l’intérieure de notre entourage?