Sécurité : une paranoïa contre-productive

Les RSSI en feraient-ils trop en matière de prévention des risques ? Oui, semble dire le cabinet de conseil Corporate Executive Board (CEB).

Les RSSI en feraient-ils trop en matière de prévention des risques ? Oui, semble dire le cabinet de conseil Corporate Executive Board (CEB). Dans un communiqué présentant la dernière édition de son rapport Executive Guidance, le cabinet assure que «72 % des entreprises limitent leurs performances avec des approches dépassées ou largement trop restrictives de la sécurité de l’information.» Une perte que le CEB chiffre à environ 20 M$ en moyenne par an pour les grandes entreprises. Selon l’étude du cabinet, réalisée auprès de 3 000 dirigeants et plus de 220 000 salariés, les entreprises «doivent changer la manière dont elles pensent le risque sur l’information pour passer d’une approche de ‘réduction’ à une approche de ‘gestion’ afin de maximiser la productivité et d’atteindre leurs objectifs d’affaires.» Pire : outre les pertes de productivité, une démarche de sécurité trop contraignante pourrait s’avérer contre-productive. En effet, selon le CEB, «93 % des employés admettent violer les règles de sécurité de l’information parce qu’elles les empêchent de remplir leurs fonctions efficacement.» Selon Jeremy Bergsman, directeur général du CEB, «la gestion du risque sur l’information doit évoluer de la réduction du risque à la maximisation de la valeur métier de l’information [...] les dirigeants de divisions doivent gérer ce risque différemment pour prendre la responsabilité de la prise de décision. Les fonctions de gestion du risque [...] doivent travailler conjointement pour définir le périmètre à gérer et l’ensemble d’activités nécessaires aux décideurs pour partager efficacement la responsabilité.» Bref, plus question pour le CEB que les fonctions de gestion du risque cherchent seules à réduire le risque à tout prix, voire au détriment de la productivité : elles doivent chercher à partager la responsabilité de gestion du risque avec les responsables métiers pour tenir compte de leurs besoins et leur permettre d’atteindre leurs objectifs.  

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close