Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI

novembre 2008 par Tristan Savalle - Consultant Senior, Solucom

La gouvernance de la sécurité de l’information dans les entreprises a subi une transformation majeure ces dernières années. On assiste en effet à un véritable changement des mentalités : la sécurité de l’information cherche à s’insérer dans les processus métiers de l’entreprise pour ne plus être ressentie comme une contrainte mais bien comme une contribution aux objectifs de l’entreprise.

L’approche technologique longtemps adoptée par les spécialistes de la sécurité limitait de facto le dialogue avec les métiers. Elle ne permettait pas d’évaluer la pertinence réelle des mesures mises en place et pouvait engendrer des coûts et des contraintes non compatibles avec les activités de l’entreprise, en donnant même parfois une fausse impression de sécurité.

Aboutir à une véritable cartographie des risques de l’entreprise

L’approche de pilotage par les risques, particulièrement mise en avant par les normes internationales de la famille ISO 27000, apparaît comme fédératrice, posant un langage commun entre les équipes sécurité et les métiers. Elle permet notamment de s’assurer de la légitimité des mesures de sécurité mises en place et de leur adéquation avec les enjeux de l’entreprise.

A l’heure où la dépendance vis-à-vis des systèmes d’information s’accentue et où les menaces et la pression réglementaire augmentent, cette approche ne doit pas se limiter à une suite d’analyses de risques unitaires : elle doit se consolider en une démarche de protection globale des activités métier de l’entreprise à travers une véritable cartographie des risques.

Pour obtenir cette cartographie, il est d’abord nécessaire de définir une méthodologie d’appréciation des risques en tirant parti autant que possible des standards du marché (comme EBIOS ou MEHARI par exemple), tout en restant très vigilant à les adapter aux activités de l’entreprise et éviter un apport inutile de complexité. La méthodologie doit se baser sur l’identification et l’estimation des différents scénarios de risques sur les activités de l’entreprise. La mesure d’impact doit être menée par les acteurs métiers ou la direction générale. Mesurer ces impacts en termes financiers est pertinent, mais parfois difficile et insuffisant. D’autres aspects comme les impacts sur les opérations, l’image ou encore les impacts réglementaires et juridiques doivent être pris en compte sur la base d’échelles communes pour aboutir à des évaluations cohérentes sur le périmètre de l’entreprise.

Un processus basé sur l’amélioration continue pour piloter ses risques

Chaque métier peut accepter les risques qu’il jugera mineurs sur ses propres activités, mais pas au delà. Si les risques sont transverses et font peser un risque à l’entreprise dans son ensemble, la décision doit être portée par un acteur ayant le mandat pour décider de leur traitement. Pour cela, un processus de gestion des risques doit être instancié, associant acteurs métiers, acteurs SI et gestionnaires des risques.

La définition d’une organisation adaptée et d’outils méthodologiques permet ainsi d’industrialiser le management des risques. L’ISO 27005 propose pour cela de mettre en place un processus formel de management des risques, basé sur une approche d’amélioration continue et intégré dans le contrôle permanent.

Sa mise en œuvre se doit d’être progressive pour être réussie. Il est inutile de définir un périmètre trop ambitieux dès le début sous peine de voir le processus partiellement ou mal appliqué. Mieux vaut définir dans un premier temps un périmètre raisonnable, limité aux processus métiers les plus critiques et ainsi mettre à l’épreuve la gouvernance des risques, avant de l’étendre à un périmètre plus large.

La réussite d’un tel changement ne pourra se faire qu’avec un engagement fort du management et un chef d’orchestre, en la personne du RSSI ou du Risk Manager.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants