Très souvent, les organisations confient l’ensemble des considérations relatives à la sécurité informationnelle à leur département informatique. Par conséquent, l’imputabilité de la sécurité revient au directeur de ce département. De plus, ce dernier doit la plupart du temps assumer cette responsabilité sans moyens supplémentaires, à même ses budgets courants d’opération.
Cette approche n’est pas adaptée aux réalités et aux enjeux relatifs à la sécurité. En effet, ils dépassent largement le cadre informatique :
- Mettre en place les mécanismes de sécurité appropriés requiert au préalable d’identifier ses actifs informationnels et d’en déterminer le degré d’importance pour l’organisation. Si la direction ne s’implique pas à ce point de vue, les outils mis en place risquent d’être mal adaptés aux réalités de l’organisation.
- Les mécanismes de sécurité ne sont pas nécessairement de nature informatique : il peut s’agir de politiques et de directives à l’intention du personnel de l’organisation, de ses fournisseurs, de ses clients, etc.
- Un problème de sécurité est susceptible d’avoir des conséquences légales engageant la responsabilité de la haute direction de l’organisation. Il est donc essentiel qu’elle s’implique activement à ce point de vue.
Pour toutes ces considérations, les responsabilités en matière de sécurité de l’information doivent être clairement établies :
- la sécurité informationnelle au sens large doit relever de la direction de votre organisation;
- le département informatique a quant à lui la responsabilité de mettre en place les outils technologiques nécessaires pour assurer la sécurité de l’information, dans le respect des orientations adoptées par la direction.
Enfin, aborder la sécurité informationnelle au sens large et impliquer la haute direction permettra de tracer plus facilement une frontière entre :
- les opérations courantes de votre département
et
- les actions visant à concrétiser les orientations de l’organisation en matière de sécurité informationnelle.
|
