Le management du digital
Rechercher

Gouvernance de la sécurité des SI : les prérequis

Par Thibaut Chevillotte, Manager Sécurité, CGI Business Consulting
Assurer la sécurité des systèmes d’information dans une grande organisation est un véritable défi. Seule une bonne gouvernance est à même de rassurer la direction générale, les clients et partenaires, les actionnaires et le grand public. Comment définir une gouvernance adaptée ?

Quels sont les prérequis à sa mise en œuvre ? Et pourquoi est-il primordial de développer une vision opérationnelle claire ?

L’expérience montre que la sécurité des systèmes d’information n’est pas qu’une question technique ou qu’un sujet d’organisation et/ou de communication. Au sein d’un grand groupe ou même dans une société aux responsabilités réparties, il est essentiel de mettre en place une gouvernance de la sécurité adaptée à la culture de l’organisation, capable de fédérer l’ensemble des actions.

Rien n’est jamais acquis dans un monde où la menace évolue, où de nouvelles vulnérabilités apparaissent tous les jours, où les besoins du métier changent, où le système d’information s’ouvre à de nouveaux utilisateurs et moyens d’accès. La vigilance doit rester une affaire de tous les instants et les exigences doivent évoluer.

Pour atteindre les objectifs fixés, la gouvernance doit impérativement fonctionner dans deux directions :
- Top Down, pour définir et communiquer ce qu’il y a à faire.
- Bottom Up, pour confirmer ce qui a été fait.

Chevilotte 1

Deux approches complémentaires

En fonction du niveau de maturité de l’organisation, deux approches complémentaires peuvent être exploitées :
• Une approche dite « conformité » en définissant, de préférence de manière collégiale, une politique, des exigences et des instructions à respecter. Ces éléments doivent s’imposer à tous comme le minimum requis. Toute divergence doit être formalisée dans une demande de dérogation qui comporte obligatoirement un plan de convergence. Cette approche permet de partager un vocabulaire et des pratiques communes et ainsi de faire progresser une organisation vers une cible qui devrait être revue tous les ans.

• Une approche dite « risque » en proposant une méthode d’analyse des risques. Chaque contexte est étudié spécifiquement et les objectifs de sécurité s’appuient clairement sur les enjeux. Cette approche permet d’adapter la sécurité au contexte métier et d’impliquer les responsables métier dans la démarche.

La sécurité ne peut pas être considérée comme une pratique à part : elle doit s’appuyer sur et s’intégrer dans la stratégie de l’organisation. Elle doit utiliser les leviers à disposition et interagir avec les processus en place. Par exemple, le déploiement de la sécurité passe par des projets. Un sponsor doit notamment être identifié et impliqué pour chaque projet significatif. Autre exemple, la sensibilisation auprès des collaborateurs doit être déployée en lien avec la communication interne, garante de l’image de l’entreprise.
• Comme dans les autres domaines, la gouvernance de la sécurité doit s’appuyer sur les principes suivants :
• Participation : tous ceux qui sont concernés participent à l’élaboration des décisions qui les concernent.
• Subsidiarité : les décisions doivent être prises, autant que possible, au niveau des personnes qui en subiront les conséquences. Le pouvoir de décider est délégué à l’échelon supérieur quand l’échelon inférieur ne peut pas s’organiser et décider à son niveau.
• Autorité : les responsabilités spécifiques sont reconnues et dotées des compétences et moyens requis.

Chevilotte 2


Rassurer la direction générale

Dicter des exigences sans vérifier leur application, c’est faire la politique de l’autruche. La boucle de retour est indispensable pour mesurer l’efficacité des actions mises en place et piloter l’amélioration continue, pour prendre des décisions éclairées ainsi que pour sensibiliser, communiquer et rendre compte. Enfin, cette boucle de retour permet de justifier des demandes d’investissement ou d’évolution.

La direction générale a besoin d’être rassurée sans pour autant avoir besoin de maîtriser tous les détails. Elle va particulièrement s’intéresser à un niveau stratégique :
• La maturité atteinte par rapport à un référentiel de bonnes pratiques
• Les risques résiduels
• Les incidents (et leurs impacts sur le métier)
• Les coûts
• La communication remontante, qui cible la direction générale, doit donc s’attacher à montrer que le travail est fait et à obtenir le sponsorship nécessaire pour passer à l’étape suivante.

Développer une vision opérationnelle

Le pilotage au quotidien de la sécurité par le responsable de la sécurité du système d’information (RSSI) nécessite également une vision opérationnelle sur :
• Les quantités d’incidents et d’anomalies par type
• Les vulnérabilités exploitables et le déploiement des correctifs
• L’avancement des projets sécurité
• L’adoption et l’efficacité des processus sécurité.

Idéalement, la production des indicateurs devrait être embarquée dans les procédures. Les indicateurs doivent permettre de suivre un niveau mais aussi de dégager des tendances qui peuvent nécessiter des actions correctives voire de nouveaux projets structurants.

En conclusion, la gouvernance de la sécurité des systèmes d’information dans un groupe ou une organisation aux responsabilités réparties doit comporter une branche descendante qui en diffuse les prescriptions et une branche remontante qui en mesure l’application via un mode de reporting simple, adapté et modulable. C’est dans ce contexte qu’une amélioration continue de la sécurité peut voir le jour en s’appuyant sur les retours terrain.

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • Benchmark Digital&Business - 
numéro 115

    Symposium Gartner 2019 - Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2019, qui s’est tenu en novembre à Barcelone.

  • Benchmark Digital&Business - 
numéro 114

    Symposium Gartner 2019 - Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2019, qui s’est tenu en novembre à Barcelone.

  • ERP - 145 réponses aux questions de votre direction générale

    Les ERP constituent encore la colonne vertébrale des systèmes d’information dans la plupart des moyennes et grandes entreprises. Malgré leur degré de maturité technologique, leurs performances métiers et la puissance des écosystèmes, les ERP suscitent encore de nombreuses questions de la part des DSI, qui ne trouvent pas toujours aisément de réponses.

A ne pas manquer

  • Comment rater...
sa Data Integration

    Pour rater son intégration de données, rien de plus simple. C’est à la portée de toutes les entreprises ! Il suffit de suivre nos treize commandements et d’oublier la gouvernance, la qualité, la sécurité et les enjeux métiers.

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris