Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Tuesday 28 October 2008
0 comment(s) | Subnetwork France

"Les entreprises qui ne gèrent pas leurs risques disparaîtront", expliquait Art Coviello, le patron de RSA, lors de la conférence d'inauguration de l'événement. Et celles qui ne sombrent pas tout de suite seront, toujours d'après Art Coviello, incapables de soutenir l'innovation. Or, cette dernière lui apparaît comme une planche de salut pour les entreprises frappées par la crise financière du moment. Qu'il ait raison on non, il livre en tout cas un bel argument aux RSSI afin de justifier leur action auprès de la Direction. La sécurité qui tire profit de la crise, c'était d'ailleurs aussi le propos d'Eric Domage (IDC) qui expliquait à l'occasion des Assises de la sécurité comment les investissements sécurité en période de crise peuvent aider la sécurité à se faire valoir auprès de la Direction.

Mais il y a investissement et investissement. Selon Art Coviello, trop d'entreprises se contentent d'investir dans la sécurité en réponse à des incidents isolés, plutôt que d'investir là où une analyse de risque indique que c'est nécessaire. Une telle approche ne peut que donner lieu à des silos protégés et non à ce qui devrait être l'objectif de la sécurité : une protection destinée à assurer le business en veillant sur ses rouages critiques.

Mais Art Coviello ne se contente pas d'encourager les RSSI à devenir des "experts du risque" : il les exhorte aussi à devenir des experts du métier. Et si l'argument n'a rien d'original, il prend tout son sens une fois combiné à l'expertise du risque : en maîtrisant ces deux domaines, le RSSI pourra piloter en fonction des risques encourus face aux gains potentiels des projets du business.

Car se contenter d'être un expert du risque en ignorant les gains espérés d'un projet business ne peut qu'amener à faire des choix imparfaits. Tout comme au poker, le gain potentiel influe sur l'acceptation du risque : il faut "avoir la côte". Et le RSSI qui ne prendrait ses décision qu'en se basant sur une analyse de risque serait à l'image du joueur de poker qui ne joue qu'en fonction des statistiques de ses mains, en ignorant les côtes du pot. Il serait, sur le long terme, perdant.