Car si les audits de sécurité ponctuels font désormais partie de sa « boîte à outils » classique, ils sont insuffisants pour garantir le niveau de sécurité du SI à tout instant, puisqu’ils sont généralement réalisés avec une fréquence relativement faible (pour un système donné). Par ailleurs, ils se limitent bien souvent à fournir un « instantané » des faiblesses existantes, n’incluant que trop rarement une analyse de la maturité des processus qui pourraient garantir dans le temps la réduction systématique des risques.

Pourtant ces processus existent : procédures de vérification des sauvegardes, de la base de signatures anti-virus déployée sur les postes de travail ou de gestion des habilitations sont couramment déployées aujourd’hui au sein des organisations. Elles s’intègrent plus largement dans le dispositif de contrôle interne, qui regroupe l’ensemble des mesures prises pour maîtriser leurs processus opérationnels (politiques, procédures, autocontrôles, etc.).
Or, en s’appuyant sur ce dispositif de contrôle interne, dont la maturité a progressé significativement ces dernières années, il est aujourd’hui possible de franchir une nouvelle étape en matière de pilotage de la sécurité du SI : passer à un dispositif de contrôle permanent, qui permet enfin de disposer de façon continue d’une évaluation du niveau de sécurité d’un système.

Car en choisissant judicieusement quelques points de contrôle basés sur les procédures de contrôle interne existantes, on peut assez facilement disposer d’une évaluation du niveau de maîtrise des risques, et ce de façon très régulière puisque le contrôle existe déjà : on peut ainsi raisonnablement s’engager sur la dérive qu’aura pu connaître un système depuis la dernière situation connue (à l’occasion d’un audit notamment).

Par exemple, si un audit a déterminé que les habilitations d’un système étaient conformes en date du 1er janvier 2009, en vérifiant régulièrement (chaque mois par exemple) que les procédures de gestion des habilitations sont correctement appliquées, on pourra affirmer avec un risque négligeable que les habilitations au 31 décembre 2009 sont toujours conformes. Certes, cette assertion restera moins sûre que celle fournie par un audit approfondi, auquel le contrôle permanent ne prétend pas se substituer, mais simplement à le compléter en fournissant des indications sur ce qui se passe entre deux « instantanés ».

Le principe du contrôle permanent est donc fort séduisant : mais qu’en est-il de sa mise en œuvre concrète ? En premier lieu, il convient de fixer une cible réaliste, adaptée à la maturité de son organisation. Car tenter de déployer des centaines de contrôles alors que la DSI en est encore à l’élaboration de ses premières procédures relève de l’acharnement vain : mieux vaut alors l’accompagner, en insistant sur les quelques points de sécurité majeurs. Pour préciser cette cible, on pourra s’appuyer avec bonheur sur les référentiels classiques (COBIT ou ISO27002 par exemple), en restant suffisamment pragmatiques pour se concentrer sur les zones de risque majeur.

Au moment de déterminer les contrôles proprement dits, la prudence est de rigueur. Viser l’exhaustivité peut induire une charge de travail déraisonnable au regard du risque couvert : un contrôle par échantillon s’impose alors. Néanmoins, on pourra parfois automatiser le contrôle (par exemple par la mise en œuvre d’un outil de gestion des identités et des accès), permettant alors de prétendre à l’exhaustivité.

Mais comme bien souvent, le véritable défi concerne la mobilisation des acteurs : insuffler une culture de contrôle au sein de l’organisation est en effet essentiel, car le contrôle permanent repose sur l’efficacité du dispositif de contrôle interne au niveau opérationnel. Il faut donc savoir créer la dynamique positive pour embarquer les opérationnels dans l’aventure, par exemple en mettant en évidence les gains qu’ils peuvent tirer de la démarche (par exemple, démontrer à sa Direction ou pouvoir répondre avec assurance à un auditeur que le niveau de risque de son processus est parfaitement maîtrisé).
Pour conclure, il convient naturellement de rester vigilant sur ce que l’on peut attendre du dispositif de contrôle permanent : comme toute construction humaine, il ne permet en effet de mesurer que ce pour quoi il a été conçu, et doit donc à son tour faire l’objet d’une réévaluation permanente !