Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Julien Birène, SYNETIS : L’approche orientée risques s’impose en matière de GRC

mars 2022 par Marc Jacob

Si dans le passé les sujets concernant la GRC sont passés d’une approche technique à de nouveaux dispositifs comme la sensibilisation,le pilotage de la sécurité, l’intégration de la sécurité dans les projets, la gestion de la conformité… Selon Julien Birène, Manager GRC, RSSI chez SYNETIS en matière de GRC l’approche orientée risques s’impose.

Global Security Mag : Quelles ont été les principales évolutions sur le marché de la GRC ces dernières années ?

Julien Birène : Ces dernières années, le marché s’est de plus en plus ouvert aux enjeux fonctionnels et organisationnels de la sécurité. Là où les approches étaient essentiellement techniques, de nouveaux dispositifs s’imposent : sensibilisation, pilotage de la sécurité, intégration de la sécurité dans les projets, gestion de la conformité…
Deux sujets me semblent en particulier de plus en plus présents : d’une part le recours à une approche orientée « risques », qui permet d’optimiser les chantiers, actions, charges et budgets et d’adresser les sujets les plus importants en priorité – une autre manière de le dire, c’est que l’on passe d’une approche exhaustive et systématique à une approche pragmatique et efficiente ; d’autre part, une prise en compte croissante des risques liés à la sous-traitance.

Le recours au Cloud en matière de GRC devient une évidence

GS Mag : De plus en plus d’offreurs proposent des solutions de GRC dans le Cloud. Comment ces technologies fonctionnent-elles ? Peut-on en avoir confiance ?

Julien Birène : Ces évolutions s’inscrivent notamment dans la logique de séparer la sécurité de l’information de la technique pure : les acteurs en charge de la sécurité ou qui s’y impliquent (RSSI, Risk Manager, responsables conformité, métiers, top management…) ne souhaitent pas intégrer, déployer, maintenir les solutions sur lesquelles ils vont s’appuyer.
Le recours au Cloud, et en particulier les offres SaaS (Software as a Service), qui permettent de consommer des solutions, sont une réponse évidente. D’autant que les technologies sur lesquelles elles s’appuient sont connues et maîtrisées car ce sont les mêmes que celles qui sont historiquement utilisées pour d’autres outils et solutions.
La vigilance est néanmoins renforcée quant à certaines exigences réglementaires, par exemple la localisation et la sécurité des données, au regard du RGPD notamment et pour renforcer la confiance.

GRC : l’outillage et l’industrialisation sont de mises, m^me si la feuille Excel reste de mise

GS Mag : Quels sont les principales évolutions technologiques que vous avez observé depuis ces dernières années ?

Julien Birène : Les évolutions se concentrent en grande partie autour de l’outillage et de l’industrialisation de sujets qui étaient jusqu’alors traités en chambre par les RSSI, avec des moyens souvent artisanaux.
Sensibilisation, analyse de risques, tableaux de bord de la sécurité, audit, suivi des tiers dont les prestataires ou fournisseurs… des solutions se développent pour adresser un très large champ de problématiques, au risque parfois d’adresser par opportunité des sujets pour lesquels les outils ne sont initialement pas conçus : par exemple, en 2018 et 2019, avec la mise en œuvre du RGPD, de nombreux outils destinés à d’autres usages se sont dotés de « modules » RGPD souvent inadaptés ou mal intégrés.
Un point d’importance également : le champ des organisations visées par ces outils est également en évolution. De plus en plus de petites organisations, des petites ETI aux PME, ont l’opportunité de s’équiper d’outils dédiés à la sécurité.

Le vénérable tableur Excel garde néanmoins aujourd’hui une place de choix dans le marché dans le GRC !

GS Mag : En quoi la GRC répond-t-elle au besoin de conformité et aux règlementations en vigueur ?

Julien Birène : La GRC adresse la conformité sur deux grands axes.
D’une part, par l’angle le plus direct, via une organisation, des outils et des processus de pilotage de la conformité : audit organisationnel, veille réglementaire, pilotage des actions de remédiation ou encore, pour n’en citer que quelques-uns, classification de l’information et des preuves.
D’autre part, en répondant, via ses différentes composantes, directement aux exigences : mise en place de politiques de sécurité, réalisation d’analyse de risques, mise en place de plan de continuité ou de reprise d’activité, protection de la donnée personnelle, etc.
Un point intéressant : les démarches de conformité mises en œuvre peuvent s’appliquer aussi bien à des exigences légales et réglementaires qu’à des politiques internes, en passant par des normes et référentiels de place.

GS Mag : Comment la GRC permet –t-elle de gérer les sous-traitants ?

Julien Birène : Les sous-traitants sont aujourd’hui un rouage essentiel de la sécurité, et on regroupe l’ensemble des problématiques liées autour du « TPRM », ou « Third Party Risk Management ».
La logique est simple : plutôt que d’attaquer les plus grandes structures, qui sont très protégées, les attaquants ciblent leurs prestataires, plus vulnérables, pour voler les données qu’ils possèdent ou atteindre, par rebond, ces grands comptes. Toutes les organisations sont conscientes de ces risques.
La GRC adresse ces problématiques sur plusieurs aspects, qui sont une évolution de ses activités traditionnelles mais étendues sur le périmètre des sous-traitants : les analyses de risques intègrent le recours à la sous-traitance, l’audit interne s’étend à l’audit des prestataires, la veille sécurité prend en compte les données publiques exposées des tiers pour les évaluer et les piloter, etc.
Par exemple, la nouvelle version, publiée en 2018, de la méthode d’analyse de risques EBIOS par l’Agence Nationale de la Sécurité des Systèmes d’Information intègre désormais une étude des parties prenantes qui interagissent avec l’écosystème étudié et l’évaluation de leur niveau de sensibilité et de sécurité.

GS Mag : Les technologies de GRC sont-elles matures aujourd’hui ?

Julien Birène : Difficile, en GRC, de parler strictement de technologies. Comme nous l’avons déjà vu, la GRC peut bénéficier d’outils en évolution constante, mais qui reposent souvent sur des technologies éprouvées. En revanche, on peut s’intéresser aux outils, normes et méthodologies qui sont au cœur des activités.
La GRC s’appuie par exemple beaucoup sur les normes de la famille ISO 27000, qui sont éprouvées, matures et très largement utilisées à l’international – et de plus en plus en France. Cela n’empêche pas que ces dernières évoluent régulièrement, avec une nouvelle version de l’ISO 27002, qui consiste principalement en un guide de bonnes pratiques détaillé et complet, publiée en février 2022 qui apporte des modifications substantielles au modèle de la version précédente.

GS Mag : Quel est le niveau de maturité des entreprises en la matière ? La GRC est-elle réellement déployée à grande échelle au sein des organisations ?

Julien Birène : Tout dépend de la taille des organisations. Chez les plus grands comptes, la GRC est adressée historiquement par des équipes dédiées, avec souvent un partage des responsabilités et des activités : gouvernance chez les équipes RSSI, gestion des risques auprès des risks manager, conformité auprès des équipes de contrôle interne… Le niveau de maturité est globalement important, souvent par conséquence d’exigences légales, normatives ou réglementaires. Les établissements financiers, par exemple, sont tenus de mettre en place un cadre pour la gestion des risques et le contrôle interne au regard de la réglementaire financière.
En revanche, les plus petites structures s’appuient en grande majorité sur des dispositifs techniques, avec une gestion et un pilotage de la sécurité confié au DSI ou un interlocuteur au sein de ses équipes. Le niveau de maturité est souvent beaucoup plus bas sur les enjeux de risques et de gouvernance. Le besoin est néanmoins tout aussi important, et les enjeux d’une approche type « GRC » est une réponse très adaptée aux problématiques de charges et de budget qui peuvent être rencontrées.
Quoi qu’il en soit, avec les sujets liés à la sécurité des sous-traitants et les exigences qu’ils reçoivent de la part de leurs clients, de plus en plus d’organisations qui n’avaient pas entamé de démarche sécurité complète y sont désormais tenus et doivent l’anticiper.

GS Mag : Quels sont les types de projets que vous observez le plus souvent aujourd’hui au sein des grands comptes ? Quid des PME ?

Julien Birène : Nous parlons beaucoup d’évaluation des fournisseurs et des parties prenantes, ainsi que d’intégration de la sécurité dans les projets avec nos clients grands comptes. Cela peut prendre la forme de mise en œuvre de plans d’assurance sécurité avec sollicitation, audit et collecte de preuve auprès des tiers ou la réalisation d’analyses de risques applicatives. Nous travaillons aussi bien en mode projet qu’en accompagnement.
Chez les PME, les sujets sont beaucoup plus variés. L’une des activités phares est la réalisation de diagnostics dits à « 360° » : en nous basant sur un référentiel (le guide d’hygiène informatique de l’ANSSI ou la norme ISO 27002, par exemple), nous réalisons un état des lieux du niveau de sécurité et de maturité de l’organisation sur tous les volets de la cybersécurité : gouvernance, gestion des accès, sécurité liées aux ressources humaines, développement, hébergement, sécurité des communications, continuité… Ces éléments permettent ensuite de construire des plans projets ou roadmap sécurité pour accompagner dans la durée ces organisations dans la prise en compte de la sécurité de manière pragmatique et pertinente.
Nous sommes également souvent positionnés pour fournir des ressources en accompagnement des équipes sécurité : RSSI à temps partagé, expert sécurité… L’enjeu est alors d’accompagner, souvent pour 6 à 12 mois, la montée en charge de la sécurité et des équipes dédiées en apportant l’expérience et l’expertise qui peut manquer pour donner l’impulsion initiale.

La GRC doit être une approche itérative

GS Mag : De manière générale, quelle démarche recommandez-vous aux entreprises en matière de GRC ? Quels sont les points de vigilance à respecter ?

Julien Birène Le point commun de toutes les approches, en GRC, se positionne au tout début de l’exercice. Nous recommandons une approche orientée risques, avec la réalisation conjointe d’un diagnostic à 360°, pour identifier les vulnérabilités et axes d’amélioration de la sécurité, et d’une analyse de risques pour apporter de la profondeur à ce diagnostic, identifier les données et processus sensibles. La conjonction de ces deux éléments permet de construire des plans d’actions adaptés à chaque contexte, qui vont adresser les enjeux prioritaires et apporter des réponses adaptées.
Attention à ne pas vouloir être trop ambitieux au démarrage : la GRC doit être une approche itérative. Inutile d’identifier et d’analyser 50 ou 60 risques, alors qu’on ne traitera de toute façon que les 5 ou 6 plus critiques. Inutile également de se positionner sur un référentiel complet et détaillé comme la norme ISO 27002 pour l’évaluation initiale si on part d’un existant quasi-nul. Sur ces sujets, c’est beaucoup l’expérience acquise dans différents contextes qui permet de positionner le curseur et prendre les bonnes décisions.

GS Mag : Enfin, de quelles manières la GRC est-elle, selon vous, amenée à évoluer ?

Julien Birène : Je m’attend à une poursuite globale des évolutions que nous constatons depuis quelques temps. En premier lieu, la poursuite de l’industrialisation et du développement des outillages. Nous parlons ici à la fois de l’émergence de nouveaux outils et de la volonté des RSSI et plus globalement des responsables sécurité d’acquérir des solutions pour passer d’une gestion artisanale de la sécurité au recours à des solutions dédiées.

En second lieu, de plus en plus de construction de démarches de sécurité formelles. La sécurité s’impose comme une, sinon la, préoccupation majeure de nombreux dirigeants. Le contexte international, les tendances de marché, les retours d’expérience et actualités... nombreuses sont les raisons qui font prendre conscience à tous que tout le monde, sans exception, est directement concerné. La GRC est en mesure d’apporter des réponses aux questions associées : par quoi démarrer ? comment savoir où sont mes risques ? mon niveau d’exposition ?

L’enjeu pour la GRC est de continuer à évoluer pour adresser ces questions, pour toutes les organisations, quelle que soit leur taille, modèle, secteur et spécificités.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants