Et au milieu coule une rivière d’informations. Pour Ernst&Young, la sécurité IT est au coeur de tous les sujets. En révélant sa Global Information Security le cabinet de conseil et d’audit l’affirme : le business doit devenir le propriétaire de la stratégie de sécurité IT…

D’après sa 14e étude, Ernst&Young met en garde. Il est temps de mettre la sécurité de l’information au centre du business. «Une entreprise sur deux du panel Luxembourg de notre Global Information Security affirme ne pas posséder de IT Security Strategy écrite, s’étonne assez peu Piet-Hein Prince, Director chez Ernst&Young à Luxembourg. Ce qui est le plus dommageable, c’est que l’IT reste souvent le propriétaire du sujet alors que cela devrait être une décision stratégique conduite par le business.»

De gauche à droite : Maxime Raymond de Ernst & Young, Marc Schmidt de BGL BNP Paribas, Cristina Spinelli, Piet-Hein Prince and Maxime Brière de Ernst & Young Luxembourg.

L’InfoSec doit être portée au Board de l’entreprise

Les raisons de ces témoignages sont diverses et il ne faut pas généraliser mais le Luxembourg considère encore le sujet comme un dossier à traiter en bon père de famille prévoyant. Peut-être qu’en raison de l’équipement solide, le passé bien accompli, l’étroitesse de la place,… les décideurs peuvent se croire plus à l’abri des menaces et dangers. Mais ce n’est plus le cas. Sur les cinq continents, les sondés sont 3 sur 4 à considérer que les risques ont été accrus sur les 12 derniers mois. Au Luxembourg, un interrogé sur deux perçoit cette démarche. Ils sont même 21% à penser que les risques externes aux entreprises ont diminué sur le dernier calendrier alors que les acteurs répartis sur le globe ne le pensent qu’à 9%.

Ernst&Young a tiré plusieurs enseignements qu’elle a partagé avec une audience d’experts et dans son étude GISS 2012. «Les priorités de par le monde sont : d’emmener le sujet de la sécurité de l’information jusqu’au comité exécutif, de faire de l’InfoSec une dimension intégrante de l’entreprise et de se concentrer là où la protection importe.» Au Luxembourg, il s’agit de tenter d’aligner la stratégie de la sécurité de l’information avec celle du business, d’anticiper la pression croissante des besoins en matière de régulation et d’utiliser mieux le potentiel des nouvelles technologies pour mettre les risques à niveau plancher. «Les données sont partout, note Piet-Hein Prince. Dès lors, il est assez difficile de savoir ce qui est potentiellement à risque et comment on peut faire pour diminuer le coût de ces risques.» C’est par la méthodologie que la BGL BNP Paribas a répondu aux défis actuels. Pour Marc Schmidt, IT Security Coordinator de la banque, il faut agir avec constance, durabilité et en respect des charges légales. C’est dans une base de données que la banque aborde les projets métiers: contexte, risk assesment, risk treatment, risk acceptance… Dans cette RMDB, partagée avec un reporting utile et mappée avec les pratiques ITIL, COBIT ou ISO,… les risques sont alors partagés avec le business…

Pour Ernst&Young, le CISO est un homme à accueillir au sommet de l’entreprise. Ernst&Young veut le faire savoir.

Retrouvez les grandes lignes de l’étude GIIS 2012