Il est préférable de mener une réflexion globale et adopter une démarche proactive visant à prévenir plutôt qu'à guérir. Et pour se mettre à l'abri, les entreprises recourent de plus en plus à des consultants pour l'obtention d'une certification. L'intervention d'un audit extérieur assure aux partenaires ou clients de l'entreprise que la prestation qui leur est fournie répond à des normes de qualité ou de sécurité. Perrine Diligent est fondatrice et directrice de Byward, une société basée en Angleterre et qui intervient sur l'audit, le conseil et la formation autour de la sécurité de l'information. Opérant en Europe, elle a profité d'une formation organisée par Vip Group à Alger pour faire passer le message de la vigilance. Byward est un partenaire de LSTI, un organisme de certification accrédité par le Comité français d'accréditation (Cofrac ) et qui certifie les systèmes de management de la sécurité de l'information en conformité avec la norme 27001. Cette norme est issue d'une première norme ISO 17999 qui est « un référentiel de bonnes pratiques en matière de sécurité de l'information ». Elle intéresse toute entreprise qui, dans le cadre de sa mission, son activité ou son métier, a besoin de protéger son information sur ses aspects de confidentialité, d'intégrité et de disponibilité. « C'est un moyen de donner des garanties importantes et concrètes aux organismes et partenaires. Elle est très développée au Japon, en Inde et en Chine. » La société HSC propose à Alger, à Genève, à Strasbourg, à Toulouse et à Paris des formations pour permettre la mise en place des normes. La pratique s'étend à toutes les grandes entreprises. L'audit interne est chargé d'évaluer les risques qui empêcheraient l'entreprise d'atteindre les objectifs qu'elle s'est fixé. L'entreprise doit démontrer par des preuves concrètes que le contrôle et le respect de ces meilleures pratiques sont effectifs. Et que la direction de la société garde bien la main sur tous les processus. La certification est devenue une nécessité dans un contexte de mondialisation et de forte concurrence entre les entreprises et les pays où le partage de données et la circulation de l'information sont un enjeu capital. Les entreprises algériennes peuvent estimer ne pas en avoir besoin, mais « c'est une erreur ». « La certification ISO 27001 fait partie des exigences dans les appels d'offres européens (cahiers des charges) », avertit Perrine Diligent. Les entreprises évoluent toutes dans « le village planétaire » empruntant les « autoroutes de l'information ». La sécurité informatique d'une entreprise ou d'une administration requiert d'inculquer une culture de la prévention à tous les niveaux (utilisateurs, managers, dirigeants). La complexité des enjeux (fonctionnels, économiques, techniques) doit inciter à évaluer tous les facteurs de risque, internes comme externes, avant de mettre en œuvre les solutions de protection adaptée.
