oplusimple

Une autre façon de voir l'entreprise.

Nov 13

L'entreprise 2.0 : Besoin de sécurité ou d'éducation ? #securité

Réflexions menées par les clubs RSSI et Identité Documents Numériques de l’association Infonord dans le cadre du groupe de travail Web 2.0

Le web 2.0 a permis l’avènement des usages collaboratifs, de la participation des utilisateurs au travers des sites publics. L’entreprise 2.0 utilise quant à elle les mêmes concepts, mais cette fois afin de mettre à la disposition de ses collaborateurs, clients ou partenaires d’affaire, des outils riches tels que les blogs, les wiki, ou même les réseaux sociaux.

Le risque essentiel d’une telle pratique, selon le groupe de travail RSSI / IdN d’Infonord, concerne le manque de contrôle de l’information diffusée : l’entreprise peut avoir du mal à maîtriser l’information dont elle est émettrice, ou que d’autres sources peuvent émettre à son sujet.

En outre l’accroissement du risque d’intrusions, lié à la multiplication des points d’entrée potentiels sur le SI (formulaires web, interfaces Web Services, ndlr) et la divulgation accidentelle de données confidentielles sont également des risques identifiés.

Ces nouvelles pratiques amènent la SSI à se voir attribuer un rôle nouveau, où la communication et le “marketing de la sécurité” prennent une place plus importante. Le métier du RSSI change ainsi pour passer d’une position autarcique à un rôle de facilitateur du business, en permettant notamment une utilisation efficace et sûre de ces nouveaux outils.

L’efficacité, ici, consiste à éduquer l’utilisateur et l’aider à s’approprier les outils, bien sûr. Mais aussi être en mesure de contrôler ensuite l’utilisation qui en est faite.

Cette éducation passe notamment par la sensibilisation des utilisateurs aux risques liés à la communication d’informations via le web 2.0, et à l’impact que la divulgation pourra avoir sur l’entreprise.

A noter que pour réussir dans sa mission, le RSSI se doit de maîtriser parfaitement ces outils afin d’aider les utilisateurs à comprendre comment et quand les utiliser. Le RSSI se doit en outre d’utiliser de tels outils afin de bien cerner les moyens de contrôle à sa disposition. A ce sujet, rappelons que le contrôle ne peut pas être seulement technique, mais qu’il devra aussi prendre en compte la dimension d’usage des outils (qu’est ce qui fait sens pour l’utilisateur, donc que peut-on/doit-on contrôler ?).

http://www.securityvibes.com/rssi-infonord-web-20-jln-news-3003390.html

Posted at 9:54am

Page 1 of 1