dimanche 22 juillet 2018    || Inscription
BanniereNews
 
 

Notre rubrique Tribune accueille les avis d'experts sélectionnés par la rédaction de Mag-Securs. Ils n'engagent toutefois que leurs auteurs. Les commentaires sont encouragés quoique modérés.

 

Par Fabian Rodes


Expert en sécurité des systèmes de l'information, protection des  entreprises et intelligence économique, Fabian Rodes exerce depuis plus de 15 ans ses activités dans le domaine de la sécurité et de la  protection de l'information. Aujourd'hui gérant de FASIS Consulting, société de conseil, Fabian Rodes accompagne au quotidien des entreprises dans la définition et la gestion de leurs risques numériques.
fabian.rodes@fasisconsulting.fr


La mise en place d’un management de la sécurité de l’information efficient et durable n’est pas chose facile et requière un habile dosage de normes et d’organisation : dépistage des écueils, pièges et leviers de réussite.

Une croissance des technologiques … mais aussi des risques de Sécurité

Les Systèmes d’Information sont devenus au fil des trois dernières décennies d’imposantes interconnexions entre les réseaux et les technologies, ayant permis un usage toujours plus vaste et performant du numérique aux services de l’entreprise et de ses clients. Cependant ces innovations ont engendré de nouveaux risques en matière de résilience et de protection, non-seulement de l’appareil de production, mais également et encore plus des données stockées ou véhiculées.

Alors que l’informatique de production s’est dotée de normes dans les années 80 et 90, la normalisation de la sécurité de l’information n’a émergée qu’au milieu des années 2000. Construite sur les standards britanniques, une première approche normative internationale ISO17799 voit le jour fin 1999. Celle-ci sera amendée avec l’ISO27002 et complété en 2005 par une définition des exigences de sécurité des SI au sein de l’ISO27001, permettant de prétendre à une certification. D’autres normes ont émergées propres à des besoins spécifiques, telles que HISA (SI en milieu médical), PCI-DSS (données cartes bancaires en environnement B2B/B2C). Ces normes qualifient avant tout des exigences de résultats et ne procurent pas autant de méthodologie que les normes internationales ISO2700x.

Vers une sécurité de l’information perçue au plus haut niveau de l’entreprise, intégrée à la gestion des risques

Quelle que soit le niveau de perception du risque au sein de l’entreprise, le management de la sécurité ne doit pas être décrétée par un responsable, mais être le fruit d’une réflexion adaptant les exigences aux besoins de l’entreprise. Pour ce faire, deux impératifs vont de pair : d’une part une sensibilisation et une considération par les plus hautes instances de l’entreprise, et d’autre part le recours à une méthode d’analyse et d’évaluations des risques.

En premier lieu, une sensibilisation du comité exécutif doit être réalisée afin de susciter une prise de conscience et permettre la ratification d’une gouvernance de la Sécurité non-réfutable au sein de l’entreprise. Ce franchissement est primordial et déterminant, mais l’angle d’approche reste délicat. Trop effrayantes ou mal ciblées, les menaces et leurs conséquences seront perçues comme n’arrivant qu’aux autres et le RSSI comme un prédicateur de mauvais augure !

Ensuite, l’intégration de la Sécurité de l’Information dans la gestion des risques est vitale pour obtenir une bonne et efficace gestion de son management. Pour se faire, il est nécessaire de recourir à la mise en place d’une méthode d’analyse et de gestion des risques issue de l’ISO27005, d’EBIOS ou de MEHARI. Cette méthode dévolue à la Sécurité de l’Information doit s’intégrer dans la gestion globale des risques de l’entreprise. Trop souvent relayée à la DSI, jugée seule experte des technologies employées, la qualification des menaces et des risques n’est alors pas correctement évaluée dans la globalité des risques. Cette anomalie survient souvent par un manque de connaissances et d’appropriation des outils numériques par les propriétaires des processus Métiers, ne permettant pas de jonction entre Technologies, besoins/exigences Métiers et gestion du risque au sein de l’entité.

L’organisation, un facteur déterminant de réussite

Pour la mise en place de la Gouvernance, la recherche d’un triumvirat de la Sécurité s’avère en général payante. Le responsable Sécurité doit, d’une part réussir à être membre d’un comité exécutif (direct ou indirect, si possible hors de sa DSI), et d’autre part s’allier à un partenaire de poids dans la gestion globale des risques : DAF ou DRH dans les petites et moyennes structures, responsable Risques ou d’un corps de contrôle interne dans les structures moyennes et Groupes. Par suite, la ségrégation entre Gouvernance et Exploitation de la Sécurité est un gage de réussite afin de garantir qualité de mise en œuvre et impartialité des contrôles.

La Sécurité de l’Information doit refléter les besoins établis en considération des risques et menaces auxquels sont exposées les processus et toutes les données de l’entreprise : données Métiers, mais aussi base RH et fichier clients. A cet effet, le management de la Sécurité doit disposer d’autonomie, notamment budgétaire, afin d’écouter et de prendre en compte l’ensemble des exigences de l’entreprise. Quelque soient les rattachements hiérarchiques, la mise en place d’une chaîne de coordination de la Sécurité entre fonctions Métiers, Supports et DSI permet alors d’unifier et d’uniformiser la tâche de management. La création d’un comité transversal de Sécurité permet de renforcer le travail de management en toute transparence et à l’unisson. Par suite, le produit des travaux et actions de ce comité permettra d’alimenter un tableau de bord partagé de tous. Enfin ce dernier sera remonté périodiquement à l’Exécutif afin de partager la vision du risque de Sécurité et permettre de l’amender  … au regard des évolutions ou besoins de l’entreprise.