Accepter le risque

Depuis quelques années, un domaine d’intérêt pour les entreprises est la sécurité informatique, qui inclut entre autres la sécurité de simples documents personnels jusqu’à l’information financière la plus sensible.

On note qu'avant les divers grands scandales financiers, cette sécurité était considérée comme peu importante. Les grands systèmes informatiques n’étaient accessibles que par certains individus et en plus, ils étaient limités à un rayon d’action simple à déterminer (une salle, un étage, un bâtiment), et donc, relativement simple à contrôler.

Avec la venue de réseaux comme Internet et le nombre grandissant d’échanges et d’utilisateurs, le rayon d’action de ces systèmes informatiques devient de plus en plus complexe à contrôler et surtout à limiter. Avec cette complexité grandissante, la sécurité de l’information devient complexe à maîtriser.

Pour ces différentes raisons, depuis quelque temps, des postes d’analystes et d'architectes en sécurité de l’information sont de plus en plus communs dans les entreprises d’aujourd’hui. Ces experts ont souvent comme mission de faire l’analyse puis finalement un plan ou une architecture technologique répondant aux besoins et aux circonstances d’affaires des entreprises. Suivant ces études, des recommandations sont remises aux exécutifs, chargés de projet ou toute autre personne en charge de prendre une décision.

Naturellement, certaines de ces recommandations provoquent des modifications qui à leur tour peuvent engendrer des coûts. Voilà où commencent, généralement, les préoccupations des gestionnaires. Devrais-je effectuer les changements identifiés? À quel point devrais-je accepter le risque et donc, minimiser ou ne pas implanter les recommandations identifiées?

Dans cette situation, considèrent l’impact des coûts, l’ajout de travail et le manque de temps, certains gestionnaires acceptent les risques et vont de l’avant avec le projet. Le dilemme avec lequel nous nous retrouvons est celui-ci : est-ce que cela se produit, par exemple, à cause d’un manque de fonds, d’expertise ou simplement d'un manque d’informations?

Point important à souligner, avec le choix d’accepter les risques, les gestionnaires prennent alors la responsabilité de la sécurité de l’information. Que cela soit des données personnelles ou financières, leur appartenant ou pas, les gestionnaires d’entreprises acceptent pour nous tous, le niveau de protection qu’ils jugent adéquat.

Riche de cette information, à quel moment devrions-nous nous interroger sur le niveau de protection de notre information personnelle ou financière? Les intervenants possèdent-ils réellement la capacité de faire un jugement éclairé sur cette situation?

Là vient l’importance de faire un lien et une vérification continuelle entre les données concernées et le niveau de protection désiré. C'est pourquoi il est important de faire affaire avec des partenaires de confiance et qui ont une compréhension profonde de la situation et des besoins.

Avec une approche simple et compréhensible, il devient facile de savoir où est réellement notre information sensible et quel est le niveau de protection nécessaire.