Sécurité du Système d'Information : Gouvernance par les risques

Depuis les années 70, les entreprises ont accru de façon spectaculaire leur dépendance vis-à-vis de leurs systèmes d'information et donc leur exposition aux risques informatiques. La fonction du Responsable de la Sécurité des Systèmes d'Information (RSSI) est née de cette vulnérabilité croissante, et son rôle va encore évoluer à l'avenir. Il devra notamment s'intégrer dans le dispositif général de Risk Management de l'entreprise. La montée des risques SI, combinée à la pression des régulateurs (Bâle II, SOX, LSF...) incitera de plus en plus les entreprises à mettre en oeuvre ou étendre leur Système de Management de la Sécurité de l'Information (SMSI).
Dans ce contexte, l'apparition de la norme ISO 27001 peut être l'occasion pour de nombreuses entreprises d'engager un tel chantier, en combinant divers cadres de références et méthodes reconnues (COSO, COBIT, ITIL, Mehari,...).
Les entreprises ne sont pas égales devant le risque SI, aussi bien du point de vue de l'enjeu stratégiquede leur SI, de leur exposition aux attaques, que de leur maturité. Ces éléments, devront être pris en compte dans le choix de la politique de sécurité SI et de la solution logicielle qui supportera le SMSI.