"Choisissez vos batailles", explique Anish Bhimani, DSI de JPMorgan Chase & Co, à l'audience d'une conférence organisée dans le cadre du salon Infosec d'Orlando. Selon lui, il est urgent de ne pas élaborer une « liste de courses » de points de mise en conformité trop précise qu'il sera ensuite difficile de contrôler. Anish Bhimani encourage en revanche à l'établissement d'objectifs « limpides comme de l'eau de roche », verbalisés d'une manière simple à lire et à comprendre par tout un chacun. Et d'expliquer comment JP Morgan Chase a adopté une liste relativement courte de règles de sécurité ne tolérant aucune entorse, assortie d'une seconde liste de règles moins impératives. Charles Pask, directeur général de ITSec Associates, va plus loin : selon lui, les « stratégies de sécurités ne tolèrent aucune entorse » et doivent se limiter aux règles dont le respect est impératif. Philip Maier, vice-président en charge de la sécurité de l'information chez Inovant, la division SI de Visa International, partage ce point de vue. Selon lui, les stratégies de sécurité doivent être facilement applicables pour être efficaces. Il encourage d'ailleurs les entreprises à mettre en place des groupes chargés du contrôle de l'application des règles de sécurité, contrôle associé une validation par des experts. Pour Sandy Bacik, DSI chez Tekelec, il est en outre nécessaire de dissocier les règles de sécurité, qui doivent guider des comportements, des standards et contraintes de sécurité réglementaires qui relèvent, eux, des programmes de gestion de risques. Enfin, Charles Pask souligne la difficulté de rédiger des règles de sécurité dans le contexte d'une entreprise multinationale. Et d'attirer l'attention des DSI sur les problèmes éventuels de traduction et, plus loin, d'adaptation des textes aux environnements culturels et linguistiques pour lesquels ils sont prévus.