Les intervenants d'une conférence organisée dans le cadre du salon Infosec d'Orlando ont plaidé pour des stratégies de sécurité simples et ciblées pour être véritablement efficaces.
«Choisissez vos batailles», explique Anish Bhimani, DSI de JP Morgan Chase & Co, à l'audience d'une conférence organisée dans le cadre du salon Infosec d'Orlando qui se déroule cette semaine. Selon lui, il est urgent de ne pas élaborer une «liste de courses» de points de mise en conformité trop précise qu'il sera ensuite difficile de contrôler. Anish Bhimani encourage en revanche l'établissement d'objectifs «limpides comme de l'eau de roche», verbalisés d'une manière simple à lire et à comprendre par tout un chacun. Et d'expliquer comment JP Morgan Chase a adopté une liste relativement courte de règles de sécurité ne tolérant aucune entorse, assortie d'une seconde liste de règles moins impératives. Charles Pask, directeur général d'ITSec Associates, va plus loin : selon lui, les «stratégies de sécurité ne tolèrent aucune entorse» et doivent se limiter aux règles dont le respect est impératif. Philip Maier, vice-président en charge de la sécurité de l'information chez Inovant, la division SI de Visa International, partage ce point de vue. Selon lui, les stratégies de sécurité doivent être facilement applicables pour être efficaces. Il encourage d'ailleurs les entreprises à mettre en place des groupes chargés du contrôle de l'application des règles de sécurité, contrôle associé à une validation par des experts. Pour Sandy Bacik, DSI chez Tekelec, il est en outre nécessaire de dissocier les règles de sécurité, qui doivent guider des comportements, des standards et contraintes de sécurité réglementaires qui relèvent, eux, des programmes de gestion de risques.
Suivez-nous