Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

REX - l’influence de la culture dans l’exercice de gestion des risques

février 2017 par Anne Lupfer, Project Lead Information Security chez Provadys

Comment s’adapter aux facteurs culturels de l’appréciation des risques dans des SI globalisés où les menaces ne connaissent pas de frontières ?

L’année dernière, j’ai eu l’opportunité de conduire une appréciation des risques au Japon. Cette intervention s’inscrivait dans le cadre de la construction d’une démarche globale de gestion des risques pour un grand groupe français implanté à l’international. L’entité japonaise s’était portée volontaire pour être pilote. Un succès sur cette entité devait être gage de succès pour le déploiement généralisé de la démarche à travers le Groupe.

Adapter les risques

En tout premier lieu, nous avions proposé une adaptation du catalogue des risques. Dans le respect de la méthodologie IRAM2, nous avions établi un catalogue des risques. Ce catalogue des risques proposait, sur la base d’un historique Groupe, une liste de menaces valorisées suivants plusieurs critères. Nous avions construit cet outil dans l’objectif de partager une base de menaces à travers le Groupe. Cette base étant à adapter au contexte lorsque nécessaire.
Pour le contexte japonais, les risques environnementaux et les risques sociaux (grève par exemple) ont complètement été revus. Si je n’ai eu aucune surprise quant à la réaction de mes interlocuteurs japonais sur le risque social : nous avons complètement baisser les probabilités de blocage d’accès aux Datacenters pour cause de grève, j’ai été très étonnée de leur réaction quant aux risques environnementaux.
Je m’attendais à devoir les mettre très élevés, puisqu’ils sont avérés. Seulement, leur habitude de tels événements fait qu’ils les estimaient à un niveau de probabilité moyen et non fort, comme nous occidentaux. Ce ne fut toutefois pas un problème, car les chiffres parlent d’eux-mêmes. Nous avions ensuite pris soin de bien faire apparaître la maîtrise de ces risques.

Le refus de l’erreur humaine

La première étape de la démarche construite est d’identifier avec les métiers le pire scénario et le scénario le plus probable pouvant porter préjudice à la disponibilité, confidentialité et intégrité des actifs primordiaux. Voici un exemple de questions auxquelles il faut trouver réponses :

• Que peut-il se produire, dans le pire des cas, qui pourrait affecter la confidentialité des données de santé des clients ?
• Est-ce que les conséquences portent sur l’entité ou le Groupe ?

A cette étape, deux choses m’ont marquées. La première c’est le refus du métier d’accepter l’erreur humaine et la malveillance. Les manageurs croient en leur équipe. Les scénarios liés à ces sources ont été valorisées très faiblement. Nous avons abordé ce thème à plusieurs reprises avec toujours le même blocage de la part de nos interlocuteurs. Ce n’est seulement que quand un des acteurs présents a cité en exemple une situation qu’il a rencontré dans une autre entreprise, qu’un scénario a pu être élaborer. Nous avons donc eu un scénario avec beaucoup de conditionnel.

Ma deuxième surprise est liée aux difficultés que mes interlocuteurs ont eu à se projeter sur des scénarios extrêmes. Par expérience, cette approche fonctionne très bien car elle répond à la question que se posent (jusqu’alors) près de 100% des personnes interviewées dans un tel exercice : dans quelle situation sommes-nous ? Si ceux sont telles données, c’est pire que tel type de données, etc. Nous avons donc eu, en première instance, des estimations des risques très homogènes. Mais pas de panique, en avançant dans la démarche, la contextualisation et la scénarisation aidant, nous avons réussi à dégager des scénarios cohérents et parlant à tous.

Un risk practitioner parfaitement dans son rôle

J’endossais le rôle de Risk Practitioner, acteur clé dans IRAM2. Mon rôle était d’animer les sessions de travail, de guider dans les réponses et d’apporter de la clarté quant à la méthodologie du Groupe. Si le risk practitioner endosse un rôle de chef de projet avec l’organisation des rendez-vous, de suivi de l’avancement et de consolidation des résultats, sa mission va au-delà du fait de sa maîtrise de la démarche qu’il doit transmettre aux acteurs.

Ce fut ma meilleure expérience dans le domaine. Travailler avec ces personnes était très enrichissant et confortable : pas de chasse aux retardataires, des participants actifs et fixés sur l’objectif, une écoute mutuelle… Avec des participants engagés, nous avons obtenu un résultat probant en moins d’une semaine ! Leurs critiques de la démarche étaient très constructives et ont permis des ajustements nécessaires à l’obtention d’une méthodologie aboutie.

A retenir de cette expérience

Si la démarche adoptée par ce grand groupe a été couronnée de succès, c’est grâce à l’identification très amont des facteurs culturels susceptibles d’influencer l’appréciation des risques et leur intégration efficace dans la méthodologie établie. De cette expérience, je retiens que la gestion des risques doit s’adapter aux spécificités culturelles locales et offrir permettre de tenir compte des spécificités avec souplesse.


Anne Lupfer est experte en gestion des risques et mise en œuvre de la sécurité de l’information. A l’occasion d’une mission d’accompagnement à la mise en place d’une méthode de gestion des risques pour un grand groupe français à dimension internationale, elle a voyagé au Japon. Elle nous livre ici un instant de vie de consultant mêlant influences culturelles et gestion des risques. Anne est Project Lead Information Security au sein de Provadys


Provadys est une société de conseil spécialiste des technologies de l’information. Nous accompagnons les organisations en matière de Cybersécurité, Infrastructure & Cloud, Transformation du système d’information. Nous mettons nos savoir-faire au service des DSI et des RSSI pour traiter les défis liés à la sécurisation ou aux mutations des Systèmes d’Information. Provadys rayonne partout en France, possède des bureaux à Paris, Sophia-Antipolis et Nantes et compte plus de 500 clients.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants