Lors de la conférence internationale de l’ISACA à Los Angeles, le professionnel de la sécurité, John Pironti, a appelé les entreprises à un changement radical dans leurs façons d’appréhender la sécurité de l’information. « La seule conformité ne suffit plus à garantir la sécurité », dit John Pironti, président d’IP Architects et volontaire ISACA. « Le nombre et la gravité des failles de sécurité ont terriblement augmenté durant les deux dernières années, alors même que les entreprises respectent les standards comme PCI, GLBA, FFIEC, FISMA et autres. » Si les organisations persistent à traiter la sécurité sous l’angle de la conformité, leurs adversaires continueront à les attaquer avec succès et en provoquant encore plus de dégâts. « La conformité peut être un bon point de départ pour sécuriser l’infrastructure du SI et les données, lorsque que l’organisation n’a rien mis en place au préalable, mais cela ne peut pas être le point final de la démarche. »
« Nous devons changer l’approche fondamentale selon laquelle les entreprises traitent de la protection de l’information », dit John Pironti, lors de la présentation « Information Security 2.0 » à la conférence ISACA. « Nous devons arrêter de penser en termes de sécurité de l’information pour penser en management des risques associés à la gestion de l’information » Le management des risques liés à l’information demande davantage d’exigences et de décisions prises par les métiers, comparé à celles définies par les professionnels de la sécurité et les autorités réglementaires.
Afin d’expliquer la différence entre les deux notions, John Pironti dit : « la sécurité de l’information donne le ton aux organisations qui les oblige à mettre en place des mesures qui peuvent réellement se terminer par de la non performance. Le management des risques donne à l’organisation le pouvoir de prendre des décisions alignées avec les besoins métiers et ensuite de mettre en oeuvre les contrôles nécessaires ».
Un autre changement critique, selon John Pironti, est de focaliser sur la protection des données et informations et non plus seulement de la technologie. « La technologie est seulement un véhicule pour les données et a peu de valeur intrinsèque. En focalisant sur les données, les entreprises seront mieux préparées pour les défis qu’elles peuvent rencontrer face à leurs adversaires », dit John Pironti.
Outre la présentation de John Pironti, la conférence internationale de l’ISACA a été l’occasion de présenter Risk IT, un nouveau cadre de référence de management des risques développé par l’ISACA. Ce cadre de référence sera disponible en téléchargement gratuit dès septembre prochain.