Le web 2.0 a permis l'avènement des usages collaboratifs, de la participation des utilisateurs au travers des sites publics. L’entreprise 2.0 utilise quant à elle les mêmes concepts, mais cette fois afin de mettre à la disposition de ses collaborateurs, clients ou partenaires d'affaire, des outils riches tels que les blogs, les wiki, ou même les réseaux sociaux.

Le risque essentiel d'une telle pratique, selon le groupe de travail RSSI / IdN d'Infonord, concerne le manque de contrôle de l'information diffusée : l'entreprise peut avoir du mal à maîtriser l'information dont elle est émettrice, ou que d'autres sources peuvent émettre à son sujet.

En outre l'accroissement du risque d'intrusions, lié à la multiplication des points d'entrée potentiels sur le SI (formulaires web, interfaces Web Services, ndlr) et la divulgation accidentelle de données confidentielles sont également des risques identifiés.

Ces nouvelles pratiques amènent la SSI à se voir attribuer un rôle nouveau, où la communication et le "marketing de la sécurité" prennent une place plus importante. Le métier du RSSI change ainsi pour passer d'une position autarcique à un rôle de facilitateur du business, en permettant notamment une utilisation efficace et sûre de ces nouveaux outils.

L'efficacité, ici, consiste à éduquer l'utilisateur et l'aider à s'approprier les outils, bien sûr. Mais aussi être en mesure de contrôler ensuite l'utilisation qui en est faite.

Cette éducation passe notamment par la sensibilisation des utilisateurs aux risques liés à la communication d'informations via le web 2.0, et à l'impact que la divulgation pourra avoir sur l'entreprise.

A noter que pour réussir dans sa mission, le RSSI se doit de maîtriser parfaitement ces outils afin d'aider les utilisateurs à comprendre comment et quand les utiliser. Le RSSI se doit en outre d'utiliser de tels outils afin de bien cerner les moyens de contrôle à sa disposition. A ce sujet, rappelons que le contrôle ne peut pas être seulement technique, mais qu'il devra aussi prendre en compte la dimension d'usage des outils (qu'est ce qui fait sens pour l'utilisateur, donc que peut-on/doit-on contrôler ?).

Infonord est l'association des professionnels des technologies de l'information au service des professionnels de l'entreprise; à ce titre, l'association regroupe plusieurs club, dont le club RSSI dont l'objectif est d'optimiser la gestion, la sécurité et l'accès aux données de l'entreprise.

Le prochain club RSSI se tiendra le 17 novembre 2009.