Interview du mois
Mr Jean-Claude TAPIA,
Président de la société ARSeO (*)
Développer des dispositifs de « surveillance opérationnelle » des échanges électroniques
En quoi consiste exactement l’activité de votre société ?
Arseo a pour vocation d’aider les entreprises à donner une réalité à un concept de sécurité dynamique qui présume la création de « périmètres de confiance » délimités et maîtrisés. Aussi, avons-nous orienté nos activités de conseil et d’audit vers la valorisation des actifs matériels et immatériels (les identifier, calculer leur valeur, déterminer ce qu’ils représentent pour chaque partenaire et agresseur potentiel), la gestion des risques opérationnels (par processus / activité évaluer les enjeux liés aux ressources utilisées, identifier les situations de risque potentielles, mesurer le degré d’exposition aux risques, déployer les plans de réduction, organiser la gestion des risques), la sécurité des systèmes d’information (définir la politique de sécurité et ses modalités de déploiement, cartographier les menaces et vulnérabilités, auditer les dispositifs, définir les solutions, mettre en place les indicateurs, sensibiliser et former) et la gestion de crise (structurer la veille, la surveillance et la logique d’escalade, former et tester la capacité de réaction).
La loi Sarkozy va-t-elle développer de nouvelles pratiques sécuritaires des entreprises ?
La loi du 23 janvier 2006 oblige les entreprises qui offrent un accès internet, même à titre accessoire, de conserver les traces informatiques des communications électroniques dans le cadre de la prévention du terrorisme. Elle élargit les possibilités offertes en matière d’accès aux données personnelles et techniques issues de l’utilisation des systèmes d’information. En cela, elle modifie sensiblement les finalités primaires des entreprises en matière de gestion des traces (garantir une « utilisation normale » des ressources, détecter toute anomalie pouvant engager la responsabilité de l’entreprise, anticiper les dysfonctionnements et pouvoir en analyser les causes) et étend le périmètre des entités devant être à même de répondre à toute réquisition officielle. Les entreprises concernées vont devoir développer des dispositifs de « surveillance opérationnelle ». Mais la loi reste imprécise sur certaines questions : quelles informations conserver et combien de temps ? comment financer les moyens nécessaires au stockage et à l’exploitation des données ? comment informer les parties prenantes (clients, partenaires, collaborateurs…) ? comment fiabiliser les dispositifs de collecte face aux outils préservant l’anonymat des transactions (système TOR, usurpations d’identités via le WiFi…) ? comment empêcher toute utilisation frauduleuse ou déloyale des dispositifs mis en œuvre? quels aménagements apporter aux règlements intérieurs et aux chartes d’utilisation des moyens informatiques et de communication ? Les réponses à ces questions constituent autant de contraintes que d’opportunités pour les entreprises et les acteurs en charge de protéger les actifs matériels et immatériels.
Avez-vous quelques conseils pour la mise en place d’une stratégie sécurité ?
Cibler les actifs les plus sensibles. Englober prévention et protection dans un concept plus large qui inclut gestion des risques, sûreté des biens et des personnes, sécurité des SI, veille concurrentielle, conformité, lutte contre les mécanismes frauduleux… Considérer la sécurité comme un geste professionnel que chaque personnel doit mettre en œuvre. Valoriser les comportements sécuritaires et légitimer les métiers de la sécurité. Prendre en compte l’impératif de sécurité dès les premières phases de chaque projet pour optimiser les dépenses, privilégier la prévention et augmenter l’efficacité des dispositifs. Piloter chaque action de sécurisation par les délais et les coûts et identifier les indicateurs permettant de suivre les objectifs atteints. Enfin, comme le font les grands groupes étrangers, coordonner davantage les initiatives privées avec l’action des pouvoirs publics en multipliant les zones de concertation.
(*) http://www.arseo.com/
Interview réalisée par Isabelle Pottier, avocat.
Parue dans la JTIT n°50/2006 p.11