Au sein d’une organisation, le gestionnaire et le praticien vivent différemment les réalités liées à la sécurité de l’information. Au colloque RSI, Louis Dagenais et Denis Normand de SNC-Lavalin ont partagé leurs points de vue à ce sujet.
La firme d’ingénierie SNC-Lavalin de Montréal, qui fête son centenaire en 2011, utilise les technologies de l’information pour assurer son fonctionnement interne et exécuter des projets aux quatre coins de la planète.
Dans le cadre des Rendez-vous de la sécurité de l’information, Louis Dagenais qui est le vice-président principal, Technologies globales de l’information et systèmes de gestion de projets chez SNC-Lavalin, et Denis Normand qui est le vice-président, Technologies globales de l’information et sécurité de la firme québécoise, ont partagé leurs perspectives de gestionnaire et de praticien envers la sécurité de l’information.
Sans prétention, M. Normand a souligné le chemin parcouru par la sécurité de l’information au sein de la firme en 2011 : lors d’une réunion de planification stratégique, l’entreprise a exigé que la sécurité soit placée au cœur des TI ; aussi, M. Normand a été invité à joindre un comité de gestion corporatif.
Les perceptions différentes des conférenciers ont été bien saisies lors de l’évocation de la remise à M. Dagenais en 2001 d’un rapport de M. Normand qui recommandait la création d’un poste de directeur de la sécurité informatique qui ne relèverait pas du département des TI. « Son rapport était plein de bon sens, mais coûtait bien cher à exécuter… Mais nous avons créé le poste », a indiqué M. Dagenais.
« Mais lorsque j’ai remis un plan d’action pour la sécurité de l’information, Louis voulait m’attacher avec de la broche ! », a expliqué en riant M. Normand.
« Quand j’ai reçu le rapport, je me suis demandé : combien ça coûte? On ne le savait pas, mais il fallait sécuriser ! On était conscient du risque, mais on n’avait pas d’historique. C’est comme le syndrome des ponts : on réagit quand ils tombent… », a expliqué M. Dagenais.
Un « pont » est tombé en 2003, sous la forme du ver informatique W32/Nachi.worm. Avant de partir en vacances, le praticien Normand avait demandé qu’on applique des rustines aux postes de travail et aux serveurs. Le gestionnaire Dagenais a ensuite décidé que seuls les serveurs seraient visés. À son retour, M. Normand a constaté un problème…
« Nous avons réagi vite et coupé les liens avec nos autres bureaux dans le monde, ce qui a permis de circonscrire la propagation du virus au siège social, a relaté M. Normand. Nous avons tout éteint, développé un script et envoyé des personnes sur chaque étage pour appliquer des rustines… »
« …Ça fait que je me suis promené sur les étages », a ajouté M. Dagenais, faisant ainsi éclater de rire l’auditoire.
Sérieusement, le gestionnaire a expliqué qu’il n’allait plus jamais prendre la perception de la sécurité de l’information à la légère. « Ce fut une journée importante dans ma carrière. Premièrement, étant un gestionnaire je ne comprenais pas le principe des rustines. Dans un système capitaliste, on fait quelque chose qui marche et on le vend, mais en informatique le modèle est build scrap, ship and patch. Deuxièmement, quand on a une bonne équipe, on n’a pas besoin de comprendre pour les suivre.
« Troisièmement, me promener comme technicien c’était super pour mon image auprès de mon équipe, mais lorsqu’ils apprendraient que tout était à cause de moi… Et quatrièmement, tout s’est fait sans qu’on sache qu’on était en crise et que le siège social n’était pas fonctionnel ! Si je n’avais pas réagi, j’aurais reçu un appel du président… », a ajouté M. Dagenais.
Communication clé
Les conférenciers ont convenu qu’il fallait beaucoup d’efforts de persuasion pour faire saisir l’importance de la sécurité de l’information au sein d’une organisation.
« Lors d’un exercice d’évaluation de risque, il était difficile pour les gens des unités d’affaires de définir des risques majeurs pour l’organisation, mais nous avons réussi ensemble à définir des pistes pour un plan d’action », a relaté M. Normand.
« Faire identifier un risque par un dirigeant nécessite de la formation et de la sensibilisation, a ajouté M. Dagenais. La gestion des priorités en sécurité de l’information est extrêmement complexe, parce qu’on joue avec l’émotivité des gens et ça requiert beaucoup d’argent. L’investissement en hard cash pour les TI est difficile à justifier. Il faut faire en sorte que la haute direction pose les vraies questions afin qu’on puisse mettre de l’argent sur la bonne réponse. »
En expliquant que le budget de la sécurité de l’information est intégré au budget des TI chez SNC-Lavalin, M. Normand a fait état du développement en interne d’une application de surveillance du trafic des commutateurs qui fonctionnait sous Linux et “sur de petites boîtes noires”. « Être restreint au niveau budgétaire force à développer d’autres ressources », a-t-il indiqué.
« En sécurité de l’information, on doit prendre des décisions avec peu d’information, a dit M. Dagenais. Quand ça coûte des sous et qu’il faut monter le dossier à la haute direction, il est important de bien faire comprendre ce que les praticiens veulent afin d’avoir l’argent nécessaire pour l’implanter. La job de Denis est encore plus difficile, mais il est bon puisque son budget augmente d’année en année. »
Adaptations
MM. Normand et Dagenais ont commenté des changements survenus au cours des dernières années qui ont fait croître l’importance à accorder à la sécurité de l’information.
À propos des règles de gouvernance et de conformité : « Ce n’est pas parce qu’on est conforme à un standard qu’on est sécurisé, a commenté M. Normand. À la limite ça donne un faux sentiment de sécurité. Avoir des gens qui ont la capacité d’observer et de réagir est essentiel. »
« Dans un dossier où il y a une loi, on n’a pas de retour sur investissement », a ajouté M. Dagenais.
À propos de la preuve électronique : « Nous recevions des requêtes de récupération de correspondances. Or, nous n’avions pas de stratégie de gestion des archives, et le backup faisait foi de stratégie. Dans un cas, pour ramener des rubans il a fallu remonter un serveur GroupWise », a expliqué M. Dagenais.
Enfin, avec l’accroissement de 50 % à 60 % par année du volume d’information, en 2007 la firme d’ingénierie a déplacé son attention d’une gestion des technologies de l’information vers une gestion de l’information. « Comme un fichier informatique est intangible, on n’en voit pas les impacts. Nous avons dû nous doter d’un nouveau processus de classification des données », a expliqué M. Normand.
En terminant, MM. Normand et Dagenais ont souligné que les professions liées à la gestion de l’information et à la sécurité de l’information étaient confrontées à une convergence des enjeux.
« La sécurité et la sensibilité de l’information demanderont encore beaucoup d’énergie au cours des prochaines années. Ce qui comptera, c’est la capacité de réaction. », a souligné M. Dagenais.
Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.
