mardi 7 juillet 2020    || Inscription
BanniereNews
 
 
Dans tous les systèmes de management, le domaine le plus instable est celui des comportements. Dans ce contexte changeant, on peut néanmoins implanter durablement un SMSI, dans la perspective d´une certification ISO 27001. (1 )

IMG/jpg/YLM.jpg


La gestion des risques et de la sécurité n´échappe pas à la réalité de tous les systèmes de management. Le domaine le plus instable restera longtemps celui des comportements individuels et collectifs. Ce ne sont pas les DRH qui diront le contraire, ni les chargés de communication.

Les individus adhèrent ou résistent aux politiques décidées par les Directions, selon qu´ils y voient un intérêt ou un danger pour leur situation personnelle. Mais ceux qui décident les politiques agissent dans le même esprit : ils prennent d´abord des risques pour réussir, ils décident ensuite les mesures de sécurité nécessaires pour ne pas mettre leurs entreprises en danger, et donc indirectement eux-mêmes. Sauf exception, la politique concrète de sécurité d´une entreprise est toujours le compromis personnel de ses dirigeants entre leur goût du risque (pour réussir et réaliser ainsi leurs ambitions) et leur besoin de sécurité (pour ne pas échouer ou ne pas être sanctionné).

Quand on reconnaît cette évidence, on comprend mieux le dialogue souvent difficile entre le professionnel de la sécurité et les responsables opérationnels ou financiers : le premier veut réduire les risques parce que c´est son rôle, les seconds acceptent d´en prendre pour optimiser leur performance. Dans le cadre des systèmes d´information, on parlera plutôt de RSSI et d´Utilisateur. La difficulté est la même : les bonnes pratiques de sécurité ne doivent surtout pas gêner les performances …

Dans un tel contexte humain, comment implanter durablement un SMSI certifiable ISO 27001 ? La réponse est simplement logique : en organisant le management de la sécurité de l´information dans la perspective d´un véritable intérêt commun. Utiliser le même référentiel pour tous est une condition nécessaire, mais ce n´est pas suffisant. Il faut aussi que chacun puisse trouver un intérêt personnel et immédiat dans la politique de sécurité mise en place. Le système de management RSSI PILOTE® répond à cette dernière condition, parce qu´il part du principe que la sécurité est faite pour l´homme, et pas l´inverse.

Sécurité des ressources ou sécurité des fonctions ?

La méthodologie habituelle du Risk Management se compose de quatre étapes : identifier, évaluer, réduire et transférer. Il s´agit d´identifier les risques des personnes et des biens, d´évaluer leur impact probable sur les résultats, de choisir les moyens de traitement qui présentent le meilleur rapport qualité/prix et, enfin, de transférer à l´assurance ce qui ne peut pas être traité, faute de moyens techniques ou de budgets. L´identification de toutes les ressources est essentielle, mais celle des objectifs de l´entreprise est accessoire. On peut donc bien parler d´un risk management des ressources.

Le risk management des fonctions est né d´une expérience vécue en Afrique, en 1977. J´avais à traiter le risque d´incendie d´une entreprise de services, installée dans une région où il y avait trop peu d´eau pour combattre un feu sérieux. Par ailleurs, cette entreprise n´avait aucun moyen de financer des investissements de sécurité, ni des transformations lourdes de ses installations. Bref, si un incendie se déclarait, la probabilité d´une destruction totale était proche de la certitude. Certes, l´assurance permettrait de financer la reconstruction, mais que faire en attendant ? Sous la contrainte de cette réalité, j´ai posé la question à chaque responsable opérationnel de cette entreprise : Si un incendie détruisait demain vos locaux et les ressources qui s´y trouvent, comment pourriez-vous poursuivre vos missions, même en mode dégradé, et pendant combien de temps ?

C´est ainsi qu´est née, sur le terrain, la méthode de « l´analyse par centres de risques », base du risk management des fonctions. Dans cette approche, l´identification des missions et des objectifs est prioritaire. Chaque responsable détermine lui-même, parmi toutes les ressources qu´il utilise quotidiennement, celles qui lui seront indispensables pour poursuivre l´essentiel de ses missions en période de crise. Par la même occasion, il fixe ainsi les grands axes de son organisation de secours.

J´ai enseigné le risk management des fonctions jusqu´en 1992 dans le cadre de la formation continue au Groupe ESSEC, et jusqu´en 2003 au DESS Assurances de l´Université d´Aix-Marseille. La méthode fut publiée en 1991 et expérimentée des centaines fois sur le terrain, dans les contextes de risques les plus divers.(2 ) Appliquée aux systèmes d´information, l´analyse par centres de risques est devenue RSSI-PILOTE®.

Une politique, un tableau de bord, un mode d´emploi.

RSSI PILOTE®, c´est d´abord le système de management d´une politique. Le document de politique générale est un texte court de dix articles, définissant les objectifs de chaque domaine, les responsabilités de mise en œuvre et les contrôles d´application. La politique est rédigée en langage courant, sans vocabulaire de spécialiste, elle n´entre pas dans la problématique des solutions. (3 )

Le tableau de bord – un seul ! – permet de visualiser les dix articles de la politique. D´un coup d´œil, la Direction peut savoir ce qui a été fait et ce qu´il reste à faire, par établissement, par système d´information, etc. C´est aussi le principal document de travail du RSSI et des chefs de projets. Le même tableau s´utilise pour élaborer les plans d´action, témoigner de leur accomplissement, organiser les contrôles de l´audit interne, etc.

Le mode d´emploi se compose de deux manuels, 1 Stratégie et 2 Communication, étudiés en détail en quatre jours, dans le cadre d´une convention de formation agréée.(4 ) La méthode applique le concept «AVANT–PENDANT–APRES», c´est-à-dire : tenir compte de ce qu´on a fait – et peut encore faire – aujourd´hui pour éviter l´accident (AVANT), de ce qu´on pourra faire demain si l´accident survient (PENDANT) et de ce qu´on pourra dire ensuite pour se justifier (APRES).

En résumé, l´objectif essentiel du système est d´optimiser la sécurité stratégique d´une entreprise ou d´un établissement, en tirant parti des facultés d´organisation des équipes internes et de leur créativité. C´est ce qui permet de prétendre que le système ne demande pas de budget ‘dépenses´ mais uniquement un budget ‘temps´. En pratique, le temps moyen pour implanter RSSI-PILOTE® dans une entreprise moyenne est de 50 jours/homme, tous participants confondus.

Le système RSSI-PILOTE® est un SMSI certifiable.

L´arrivée de la norme ISO 27001 ouvre une nouvelle dynamique de la sensibilisation inhérente au concept AVANT-PENDANT-APRES. En effet, grâce à une première entreprise ayant franchi le cap de l´audit blanc de certification, la preuve est maintenant faite que le système RSSI-PILOTE® offre une politique conforme aux principes de la norme et que son tableau de bord permet de documenter les 133 points de contrôle exigés. Un manuel 3 Certification servira dorénavant d´outil de préparation documentaire, pour les entreprises qui veulent obtenir le label ISO 27001, après avoir adopté le tableau de bord RSSI-PILOTE®.

En pratique, beaucoup d´entreprises n´iront sans doute pas jusqu´à la certification proprement dite. En adoptant le SMSI RSSI-PILOTE®, c´est-à-dire en acceptant quatre jours de formation et un effort moyen de un jour/homme par semaine pendant un an, leurs dirigeants estimeront protéger correctement leurs entreprises et leurs collaborateurs, contre les risques majeurs, individuels ou collectifs. Car, même si l´accident se produisait trop tôt, il serait difficile d´adresser des reproches à des responsables, dont la politique de sécurité s´inscrit déjà dans la ligne des bonnes pratiques normalisées.


---------------------------------------

1 SMSI : système de management de la sécurité de l´information. Le présent article résume la présentation
2 faite à EUROSEC 2007, dans le cadre de la session 5 Les secrets de la famille ISO 27000 : le label
3 Yves L. Maquet, « des Primes d´assurances au Financement des risques », Eléments fondamentaux de Risk Management, Bruylant, Bruxelles, 1991.
Le texte complet de la politique peut être téléchargé sur le site www.rssi-pilote.fr
4 Conditions et dates des formations, voir www.siva.fr/services/rssi.php



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142979
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI