Tandis que l'agilité et la réactivité deviennent essentielles pour permettre aux institutions financières de répondre au mieux aux attentes de leurs clients, leurs politiques de sécurité sont encore trop fréquemment perçues comme un obstacle lourd. Chez Wells Fargo, l'ambition du RSSI [1] est au contraire d'être catalyseur de l'innovation.
Dans de nombreuses organisations, le constat est accablant, entre les veto sans appel opposés par les équipes chargées de contrôler la sécurité d'un service en ligne ou d'une application mobile et – peut-être pire encore – l'auto-censure que s'imposent les décideurs à l'heure de lancer un nouveau projet, qu'elle soit due à une crainte justifiée de rejet ou qu'elle ne soit qu'un prétexte bien pratique à l'immobilisme. Il existe pourtant d'autres manières d'aborder le sujet, pratiquées dans quelques rares établissements.
En premier lieu, parce qu'elle figure désormais au premier plan des préoccupations, la sécurité doit accompagner les initiatives dès leur origine et pendant toute leur durée, au lieu de n'être qu'une étape d'un processus standard. D'autre part, l'attitude des acteurs doit évoluer dans le sens d'un partenariat avec les métiers : le principe de validation binaire laisse alors place à une évaluation objective des risques et des mesures de mitigation possibles, laissant les décisions finales aux « vrais » responsables du projet.
Dans de nombreuses organisations, le constat est accablant, entre les veto sans appel opposés par les équipes chargées de contrôler la sécurité d'un service en ligne ou d'une application mobile et – peut-être pire encore – l'auto-censure que s'imposent les décideurs à l'heure de lancer un nouveau projet, qu'elle soit due à une crainte justifiée de rejet ou qu'elle ne soit qu'un prétexte bien pratique à l'immobilisme. Il existe pourtant d'autres manières d'aborder le sujet, pratiquées dans quelques rares établissements.
En premier lieu, parce qu'elle figure désormais au premier plan des préoccupations, la sécurité doit accompagner les initiatives dès leur origine et pendant toute leur durée, au lieu de n'être qu'une étape d'un processus standard. D'autre part, l'attitude des acteurs doit évoluer dans le sens d'un partenariat avec les métiers : le principe de validation binaire laisse alors place à une évaluation objective des risques et des mesures de mitigation possibles, laissant les décisions finales aux « vrais » responsables du projet.
La phase suivante de maturité consiste à mener la transformation numérique aussi dans la sécurité. Les approches émergentes ne manquent pas dans le secteur (par exemple en matière de biométrie) et les startups spécialisées prolifèrent. Les RSSI doivent impérativement connaître les nouvelles solutions et être à même d'en recommander les usages, dans des conditions appropriées. Bonne nouvelle, la sensibilité des dirigeants d'entreprise aux risques encourus – grâce à la forte médiatisation qui les entoure, de nos jours – leur offre une opportunité de s'emparer de ce rôle.
A l'heure de la banque « digitale », la sécurité ne peut plus être gérée dans un silo isolé, disposant d'un droit de vie ou de mort sur les idées et les produits, par décret quasi-divin. Comme pour bien d'autres disciplines, la collaboration étroite doit devenir la règle. Il en va non seulement de la capacité de l'entreprise à appréhender dans les meilleures conditions les transformations auxquelles elle doit faire face, mais aussi de l'indispensable éducation de tous les décisionnaires aux enjeux de la sécurité. Or celle-ci requiert une transparence souvent absente de la culture des spécialistes.
[1] RSSI : Responsable de la Sécurité des Systèmes d'Information (CISO, en anglais).
A l'heure de la banque « digitale », la sécurité ne peut plus être gérée dans un silo isolé, disposant d'un droit de vie ou de mort sur les idées et les produits, par décret quasi-divin. Comme pour bien d'autres disciplines, la collaboration étroite doit devenir la règle. Il en va non seulement de la capacité de l'entreprise à appréhender dans les meilleures conditions les transformations auxquelles elle doit faire face, mais aussi de l'indispensable éducation de tous les décisionnaires aux enjeux de la sécurité. Or celle-ci requiert une transparence souvent absente de la culture des spécialistes.
[1] RSSI : Responsable de la Sécurité des Systèmes d'Information (CISO, en anglais).
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)