Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
novembre 2008 par Tristan Savalle - Consultant Senior, Solucom
La gouvernance de la sécurité de l’information dans les entreprises a subi une transformation majeure ces dernières années. On assiste en effet à un véritable changement des mentalités : la sécurité de l’information cherche à s’insérer dans les processus métiers de l’entreprise pour ne plus être ressentie comme une contrainte mais bien comme une contribution aux objectifs de l’entreprise.
L’approche technologique longtemps adoptée par les spécialistes de la sécurité limitait de facto le dialogue avec les métiers. Elle ne permettait pas d’évaluer la pertinence réelle des mesures mises en place et pouvait engendrer des coûts et des contraintes non compatibles avec les activités de l’entreprise, en donnant même parfois une fausse impression de sécurité.
Aboutir à une véritable cartographie des risques de l’entreprise
L’approche de pilotage par les risques, particulièrement mise en avant par les normes internationales de la famille ISO 27000, apparaît comme fédératrice, posant un langage commun entre les équipes sécurité et les métiers. Elle permet notamment de s’assurer de la légitimité des mesures de sécurité mises en place et de leur adéquation avec les enjeux de l’entreprise.
A l’heure où la dépendance vis-à-vis des systèmes d’information s’accentue et où les menaces et la pression réglementaire augmentent, cette approche ne doit pas se limiter à une suite d’analyses de risques unitaires : elle doit se consolider en une démarche de protection globale des activités métier de l’entreprise à travers une véritable cartographie des risques.
Pour obtenir cette cartographie, il est d’abord nécessaire de définir une méthodologie d’appréciation des risques en tirant parti autant que possible des standards du marché (comme EBIOS ou MEHARI par exemple), tout en restant très vigilant à les adapter aux activités de l’entreprise et éviter un apport inutile de complexité. La méthodologie doit se baser sur l’identification et l’estimation des différents scénarios de risques sur les activités de l’entreprise. La mesure d’impact doit être menée par les acteurs métiers ou la direction générale. Mesurer ces impacts en termes financiers est pertinent, mais parfois difficile et insuffisant. D’autres aspects comme les impacts sur les opérations, l’image ou encore les impacts réglementaires et juridiques doivent être pris en compte sur la base d’échelles communes pour aboutir à des évaluations cohérentes sur le périmètre de l’entreprise.
Un processus basé sur l’amélioration continue pour piloter ses risques
Chaque métier peut accepter les risques qu’il jugera mineurs sur ses propres activités, mais pas au delà. Si les risques sont transverses et font peser un risque à l’entreprise dans son ensemble, la décision doit être portée par un acteur ayant le mandat pour décider de leur traitement. Pour cela, un processus de gestion des risques doit être instancié, associant acteurs métiers, acteurs SI et gestionnaires des risques.
La définition d’une organisation adaptée et d’outils méthodologiques permet ainsi d’industrialiser le management des risques. L’ISO 27005 propose pour cela de mettre en place un processus formel de management des risques, basé sur une approche d’amélioration continue et intégré dans le contrôle permanent.
Sa mise en œuvre se doit d’être progressive pour être réussie. Il est inutile de définir un périmètre trop ambitieux dès le début sous peine de voir le processus partiellement ou mal appliqué. Mieux vaut définir dans un premier temps un périmètre raisonnable, limité aux processus métiers les plus critiques et ainsi mettre à l’épreuve la gouvernance des risques, avant de l’étendre à un périmètre plus large.
La réussite d’un tel changement ne pourra se faire qu’avec un engagement fort du management et un chef d’orchestre, en la personne du RSSI ou du Risk Manager.
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?