mercredi 2 novembre 2011

Article dans LeSoleil: Apprendre la sécurité par le jeu

Par YTherrein
http://www.cyberpresse.ca/le-soleil/affaires/zone/zone-tic/201111/01/01-4463482-apprendre-la-securite-par-le-jeu.php

(Québec) Dans le monde des technologies de l'information, la sécurité des informations doit être une priorité. C'est le nerf de la guerre dans la société qui mise sur ses réseaux et sa connectivité en temps réel.

Quand des serveurs tombent en panne après avoir été attaqués, comme ce fut le cas avec le réseau PlayStation, des millions d'usagers craignent que leurs informations personnelles, comme les numéros des cartes de crédit, puissent être tombées dans de mauvaises mains. Le réseau PlayStation a été fermé pendant des semaines. Même chose avec le réseau des BlackBerry de Research in Motion qui a subi une panne majeure de son réseau d'information. Sa réputation de fiabilité et de sécurité a été ébranlée.

Si l'on peut implanter des mesures dans le réseau informatique pour protéger certaines données et assurer sa fiabilité, il reste un maillon faible dans la chaîne : l'humain. Ce sont des humains qui gèrent et utilisent les systèmes de traitement des informations, mais ils n'ont pas toujours la même sensibilité quant à l'importance de protéger adéquatement les informations physiques ou numériques passant entre leurs mains.

Christophe Jolivet, de PR4GM4 (pragma), une entreprise spécialisée dans les services-conseils en sécurité de l'information, a décidé de passer par le jeu pour faire en sorte que les membres d'une entreprise prennent conscience de la problématique de la gestion des risques de la sécurité des informations en se basant sur la norme internationale ISO 27000.



Son jeu nommé P4r4risque (pararisque) s'inspire du Monopoly. Contrairement au populaire jeu de planche, P4r4risque ne vise pas à faire de l'argent, mais à provoquer une discussion autour des mesures de protection qu'il faut acheter pour être en sécurité, des trans­ferts avec les autres joueurs, les collègues, pour arriver à un niveau de sécurité acceptable ou à payer les pertes financières parce que les vulnérabilités du système ont provoqué une perte des données sensibles, par exemple.

«Le jeu comporte deux volets, explique M. Jolivet. D'abord, apprendre aux gestionnaires et au personnel ce que veulent dire la gestion des risques, les menaces et les vulnérabilités dans une entreprise et son réseau. Puis, faire la promotion des 133 objectifs de sécurité de la norme ISO 27000. Notre société doit apprendre à se protéger, protéger son savoir, ses informations sensibles et stratégiques.»

Le jeu utilise des cartes pour une vingtaine de scénarios de menaces et de vulnérabilité touchant la perte ou le vol d'information, les accès non autorisés, volontaires ou non, de même que la modification des informations ou l'impossibilité d'accéder aux données.

Former pour sécuriser

Pour M. Jolivet, toute entreprise qui veut renforcer la sécurité de son organisation à tous les niveaux doit former son personnel parce que les mesures technologiques ne suffisent pas. Plus encore, trop de sécurité nuit à la sécurité. Il faut une juste mesure. Il estime que les membres d'une organisation peuvent apprendre plus dans un cadre ludique que dans la lecture des centaines de pages sur le sujet.

Au Canada, une dizaine d'entreprises auraient l'accréditation à la norme de sécurité ISO 27000. Aux États-Unis, il y en aurait une centaine alors que le Japon en compte près de 4000.
Le jeu est offert dans quatre langues : français, anglais, espagnol et portugais.

Site Web : www.p4r4risque.com

Source:
http://www.cyberpresse.ca/le-soleil/affaires/zone/zone-tic/201111/01/01-4463482-apprendre-la-securite-par-le-jeu.php