Sarapis, le blog

La norme ISO27002/CEI : 2013 est une véritable boite à outils de sécurité de l’information. Elle couvre 14 domaines (depuis les politiques de sécurité, jusqu’à la conformité en passant par la sécurité des communications et la sécurité des ressources humaines …), qui détaillent 35 objectifs de sécurité et les 114 mesures pour les atteindre.

L’ISO27002 couvre tous les domaines de la sécurité de l’information et peut être accessible à tous. 

Ce code de bonne pratique pour le management de la sécurité de l’information peut être considéré comme un outil facile d’usage permettant à un responsable en entreprise d’exprimer ses besoins dans le cadre de ses projets et d’en contrôler la bonne prise en compte. Dans une approche pragmatique et concrète, chacun peut s’approprier cette norme et l’utiliser dans le cadre de son activité sans être un spécialiste de la sécurité.

La sécurité n’est pas l’affaire des seuls experts et chaque personne dans l’entreprise est en charge d’une part de responsabilité dans un système de management de la sécurité de l’information (SMSI ISO27001). 

Dans un jeu de rôle trivial, imaginons un Directeur de projet en charge du développement d’un nouveau service. Néophyte en sécurité des systèmes d’information, il considère cependant qu’il doit maitriser les risques inhérents au partage d’informations avec ses partenaires externes à l’entreprise. Il souhaite donc exprimer ses besoins vis-à-vis des services internes à son organisation (services sécurité et juridique) dans son contexte d’échange professionnel. 

Jouons le cas où il connait l’existence de la norme ISO27002 et qu’il peut en disposer.

Il visualise alors « l’armoire / ISO 27002 » avec ses 14 « tiroirs / domaines ». Il y sélectionne le 13^ème, mentionnant « Relations avec les fournisseurs ».

Il y distingue deux classeurs :

• 1. Sécurité de l’information dans les relations avec les fournisseurs,
• 2. Gestion de la prestation du service.

Il retient le second, approprié à son sujet.

Il en vérifie l’objectif :

• Maintenir un niveau convenu de sécurité de l’information et de prestation de services, conformément aux accords conclus avec les fournisseurs. 

Il veut alors s’assurer auprès des services internes, de la mise en œuvre de mesures de nature à satisfaire ses besoins de sécurité conformément aux bonnes pratiques.

Il peut demander les référentiels les documentant ou bien, s’ils n’existent pas, spécifier sa demande particulièrement sur les deux mesures qu’il a relevées :

• Surveillance et revue des services des fournisseurs :
  • Il convient que les organisations surveillent, revoient et auditent à intervalles réguliers la prestation des services assurés par les fournisseurs.

• Gestion des changements apportés dans les services des fournisseurs,
  • Il convient de gérer les changements effectués dans les prestations de service des fournisseurs, y compris le maintien et l’amélioration des politiques, procédures et mesures existant en matière de sécurité de l’information, en tenant compte du caractère critique de l’information, des systèmes et des processus concernés et de la réappréciation du risque.

Exprimer ses besoins sécurité aux spécialistes RSSI et juriste au meilleur niveau de état de l’art, tout en étant néophyte, devient aisé ! 

Dans les domaines de la gestion y compris celui de la sécurité de l’information, les spécialistes adoptent des outils d’analyse structurée. Parfois, les résultats produits sont parcellaires et ne répondent pas complètement aux enjeux globaux de l’organisation. Les seules rigueur et précision des méthodologies sont-elles toujours adaptées à l’objectif final visé ? L’éventuel « trou dans la raquette » qui inopportunément entame la crédibilité des dispositifs mis en œuvre relève-t-il d’un défaut d’analyse, d’application des plans d’actions ou est-il la conséquence malencontreuse d’un biais cognitif « méthodologique » ?  

De ce dernier point de vue, n’est-il pas courant d’observer que la recherche compulsive de l’exhaustivité prime sur la vision signifiante de la « Big Picture » au périmètre poreux par construction ? N’y aurait-il pas de ce point de vue univoque une déviation de la pensée privilégiant le détail dans l’analyse rationnelle d’un objet ou d’une situation complexe ?  

Le confort de schémas de pensée et l’usage d’outils qui ont montré ordinairement leurs efficacités peuvent l’emporter sur des raisonnements qui considèrent la problématique posée comme originale et commandent alors d’élaborer une approche spécifique.  

Pour autant, les différentes démarches ne sont pas exclusives les unes des autres, à condition qu’elles aient une finalité commune.

La recherche rassurante de l’exhaustivité, du détail et de la rigueur procédurale ne sont pas toujours les bons moyens d’atteindre les objectifs sécurité visés. Ils nous en distraient parfois même…

Le diable est certes dans les détails selon une ancienne expression allemande, mais regarder par le petit trou de la lorgnette n’est pas le bon moyen de voir l’ensemble.

Examiner un problème tel que celui de la sécurité des systèmes d’information dans toute sa complexité mérite que l’on explicite la finalité du système que l’on se propose de modéliser, avant de rechercher dans la boite à outils les instruments disponibles.

Gardons-nous dans notre démarche intellectuelle de ressembler à ce hamster qui tourne de plus en plus vite dans la roue de sa cage sans percevoir la finalité de sa course.    

Il faut bien admettre que le bon sens est l’allié d’une stratégie de sécurité efficace.

Quand le pragmatisme l’emporte sur le dogmatisme sécuritaire, alors « mise en œuvre rapide, globale et cohérente » prime sur « analyse exhaustive et précision du détail ». L’efficacité consiste à activer un dispositif sécurité global et cohérent qui sera affiné dans un processus d’amélioration continue.

Dans le domaine de la sécurité des systèmes d’information où le flou, l’imprécision, l’instabilité et le temps caractérisent la complexité du sujet, l’efficience est la conjonction de :

• la responsabilisation des personnels plutôt que la rigueur procédurale,
• la protection des ressources essentielles plutôt que la protection du champ complet des actifs, 
• la réduction rapide de l’exposition aux risques plutôt que le traitement complet futur de toutes les vulnérabilités, 
• la résilience de l’organisation plutôt que l’élaboration exhaustive de scénarios d’attaques parfois irréalistes.

La sécurité de l’information doit être considérée à partir de la stratégie de l’organisation. Elle sera modélisée selon la finalité visée : permettre à l’organisation d’ajuster les prises de risque pour atteindre ses objectifs métier tout en respectant les intérêts des parties prenantes.

Comme nous l’avons vu précédemment, les systèmes de pilotage sont souvent les parents pauvres des processus de gestion de la sécurité. C’est pourtant grâce au contrôle et au pilotage que l’on est capable d’atteindre les objectifs définis et d’ajuster les moyens déployés pour y parvenir.

Comme pour la conduite d’une voiture, le pilotage de la sécurité de l’information s’appuie sur un tableau de bord ; contrôles et ajustements sont possibles par l’observation des indicateurs.

Considérons les actions à mettre en place pour construire un système de pilotage de la sécurité.

La finalité d’un pilotage efficace consiste à atteindre des objectifs métier tout en maitrisant les risques liés aux activités de l’organisation.

Il s’agit d’assurer la fiabilité des systèmes opérants (production) dans le cadre de référentiels normatifs.  La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes. L’obligation de conformité impose alors de considérer le contrôle et le pilotage de la sécurité de l’information dans le cadre du processus de gouvernance de l’organisation.  

La réactivité nécessaire à la prise de décision n’est alors possible que par l’usage d’une plateforme numérique qui associe objectifs métier et mesures de sécurité.  

Le logiciel expert Small1© développé sur la base de la méthode SARAPIS® permet de mettre en place un processus de gestion des risques et de pilotage de la sécurité de l’information sur la base de scénarios de risques métier.

Le pilotage de la sécurité fait partie du processus global de gestion des risques et c’est bien en ce point qu’il est indispensable. Le contrôle et le pilotage de la sécurité de l’information ont une dimension « opérationnelle » avérée et il convient donc de les intégrer dans le champ de la sécurité. 

Il convient de distinguer trois points clefs pour opérer un pilotage efficace : 

1. Contrôler la conformité des actions menées aux politiques et aux plans de traitement définis.
2. Vérifier la performance des dispositifs mis en œuvre en regard des besoins métiers exprimés. 
3. Ré-adapter les dispositifs mis en place dans les cas contraires aux résultats attendus, 

Une plateforme numérique telle que Small1© doit générer automatiquement tous les éléments de gestion, de suivi et de reporting, tels que :

Une matrice de hiérarchisation des risques :

Ce type de matrice / cartographie des risques permet de définir une stratégie de traitement. Plus que la précision de l’évaluation, c’est la relative criticité des risques qui prévaut dans cet outil d’aide à la décision. Pour exemple : la cartographie ci-dessous permet de conclure que les risques 5, 1 et 6 sont à traiter en priorité par rapport aux autres qui peuvent l’être dans un second temps dès lors que les budgets seraient contraints.

La stratégie de traitement des risques consiste à prendre une décision selon 4 axes : 

• Réduction (mise en œuvre de mesures adaptées)  
• Transfert (assurances, prestaires/fournisseurs)
• Acceptation (en pleine connaissance du risque résiduel)
• Refus (du service/produit à mettre en œuvre)

Les scénarios de risque Métier

L’objectif du scénario est de piloter la sécurité par les risques métier. 

Le niveau de sécurité global :

L’objectif de cette mesure consiste à disposer d’une vue  sur le niveau de sécurité de chacun des domaines  de l’ISO27002 (Code de bonne pratique pour le management de la sécurité de l’information).

Les critères de sécurité : Disponibilité, Intégrité, Confidentialité, Traçabilité, Gouvernance :

Les indicateurs spécifiques DICTG ont pour vocation de mesurer le niveau globalde sécurité de l’organisation dans le champ de l’ISO27002.

C’est sur la base de ces types d’indicateurs que le contrôle et le pilotage de la sécurité de l’information peuvent s’exercer dans le cadre du processus de gouvernance de l’organisation. 

Dans cette série d’articles, Sarapis s’attèle à traiter les affirmations couramment entendues dans le domaine de la sécurité dans le but de réfuter les mauvais prétextes à ne pas traiter un problème. Ce n’est pas parce que l’on n’aurait pas de « baguette magique » qu’il faudrait laisser un problème de côté, au risque qu’il mette en péril une organisation. 

C’est parti pour éprouver ces idées reçues !

Faux semblant #4 : « la sécurité opérationnelle répond à des besoins concrets tandis que le contrôle et le pilotage sont théoriques et accessoires » 

La trésorerie tendue des TPE & PME limite leurs investissements et commande de viser la seule productivité au détriment de ce qui peut apparaitre comme accessoire. Le contrôle et le pilotage de la sécurité, typiquement, ne sera alors pas organisé comme un système à part entière. C’est aussi le cas pour de plus grandes entreprises. 
Cette fonction pourtant indispensable à la maitrise des risques et à la création de valeur, n’est souvent pas considérée comme « opérationnelle » ! C’est le maillon faible d’un processus global de gestion des risques qui peut être décliné dans ses phases :

• D’analyse par 
  • L’identification et l’appréciation des risques
• De traitement par
  • La définition de la stratégie de traitement des risques Métier
  • La sélection des mesures de sécurité 
  • La définition du plan de traitement
• De contrôle et de pilotage par
  • La définition d’indicateurs en regard des objectifs Métier et des mesures de sécurité opérationnelle
  • La constitution de tableaux de bord par niveaux : métiers, managérial et sécurité opérationnelle.

L’actualité donne une grande résonnance médiatique aux préjudices que subissent les entreprises, dès lors que leurs patrimoines informationnels ou leurs processus vitaux sont la cible d’attaques dévastatrices.

Devant une cyberattaque qui paralyse une organisation pendant plusieurs semaines ou bien le piratage de données sensibles, une question peut légitimement se poser : « n’y avaient-ils donc pas de spécialistes sécurité dans cette organisation ? ».  

Que s’est-il donc-t-il passé :

• Les spécialistes n’étaient pas compétents ?
• Les dirigeants n’ont rien compris à la problématique ?
• C’était un mauvais concours de circonstances ?

Non, il faut regarder au-delà. 

L’agrégation de briques techniques, procédurales et réglementaires ne peut garantir la sécurité globale d’une entreprise dès lors que les dispositifs de contrôle et de pilotage de la sécurité de l’information ne sont pas conçus comme un « système » en tant que tel.

Intégrer le pilotage de la sécurité de l’information dans le processus de gouvernance des organisations c’est réduire les difficultés qui empêchent les dispositifs d’être pleinement efficaces : toutes les fonctions de l’entreprise doivent partager des référentiels et des outils communs à propos de la sécurité de l’information. 

Il est alors possible de :

• Contrôler que les actions menées sont conformes aux politiques et aux plans de traitement définis
• Vérifier que les dispositifs mis en œuvre produisent les résultats attendus à partir de besoins métiers exprimés
• Vérifier aussi que les dispositifs mis en œuvre sont performants : est-ce qu’on obtient les résultats attendus ? Dans le cas contraire, comment réadapter les dispositifs de sécurité ?

Or, les systèmes de pilotage sont souvent les parents pauvres des processus de gestion de la sécurité. C’est pourtant grâce au contrôle et au pilotage qu’on est capable d’atteindre les objectifs définis et d’ajuster les moyens déployés.

Le contrôle et le pilotage de la sécurité de l’information ont une dimension « opérationnelle » indéniable ! 

Dans cette série d’articles, Sarapis s’attèle à traiter les affirmations couramment entendues dans le domaine de la sécurité dans le but de réfuter les mauvais prétextes à ne pas traiter un problème. Ce n’est pas parce que l’on n’aurait pas de « baguette magique » qu’il faudrait laisser un problème de côté, au risque qu’il mette en péril une organisation. 

C’est parti pour éprouver ces idées reçues !

Faux semblant #3 : « Les attaquants auront toujours une longueur d’avance sur les défenseurs »

Tout dépend de l’approche ! 

Il existe pour le moins deux positions : 

– La sécurité défensive, la plus répandue, commande de protéger les actifs de son organisation. 

– La sécurité offensive, vise à inverser l’attaque vis-à-vis d’organisations où d’acteurs malveillants. La tactique consiste alors à identifier et à piéger les attaquants.

C’est en se positionnant comme « acteur offensif », lorsque cela est nécessaire, que les défenseurs peuvent faire perdre aux attaquants leur supposé avantage. 

Différentes techniques peuvent être mises en œuvre, depuis des leurres (honeypots) pour attirer et identifier les attaquants, jusqu’à la riposte et le démantèlement, au bout de l’escalade.

Les états ont mis en place des agences pour assurer la sécurité numérique de leurs intérêts nationaux, alors pourquoi pas les entreprises ?

Dans le discours d’ouverture du premier colloque international consacré à la cyberdéfense qui s’était tenu à Paris le 24 septembre 2015, Jean-Yves Le Drian alors ministre de la Défense, plaçait le combat numérique au cœur des enjeux et des opérations de défense et de sécurité.

C’est en pratiquant l’attaque qu’on se défend le mieux ! 

Le juste équilibre entre sécurité défensive et offensive est mesuré à l’aune des enjeux de l’organisation.

Voici pour exemple un évènement récent qui contrarie les supposées avance et impunité des agresseurs :  

http://www.eurojust.europa.eu/press/Documents/2020-07-02_joint-Eurojust-Europol-press-release_FR.pdf

Dans cette série d’articles, Sarapis s’attèle à traiter les affirmations couramment entendues dans le domaine de la sécurité dans le but de réfuter les mauvais prétextes à ne pas traiter un problème. Ce n’est pas parce que l’on n’aurait pas de « baguette magique » qu’il faudrait laisser un problème de côté, au risque qu’il mette en péril une organisation. 

Retrouvez l’épisode 1 ici.

C’est parti pour éprouver ces idées reçues !

Faux semblant #2 : La sécurité est un frein

Les directives et procédures de sécurité sont souvent perçues comme des contraintes par les utilisateurs. La sécurité gêne la fluidité des opérations et complique les processus métiers dès lors qu’on la subit. 

Or, prenons l’exemple de la compétition automobile, les voitures qui disposent des freins les plus efficaces prennent l’avantage sur les voitures concurrentes par un freinage plus tardif parce que plus puissant, avant un virage.

La sécurité peut alors être perçue comme un « frein » qui permet à l’entreprise d’avancer de manière efficiente et de gagner sur les concurrents ne disposant pas des mêmes moyens …

L’affirmation « la sécurité est un frein », oppose deux tendances : 

• L’aversion aux risques, tendance des spécialistes de la sécurité qui ont pour vocation d’éviter tous types de menaces et de corriger l’ensemble des vulnérabilités qui exposeraient l’organisation.

• L’appétence aux risques, tendance des entrepreneurs et des dirigeants qui recherchent la performance parfois même en outrepassant les limites lorsque les enjeux prévalent. 

Si on considère que la sécurité n’est pas un dogme mais qu’elle doit permettre à l’entreprise d’atteindre ses objectifs en préservant les intérêts de l’ensemble des parties prenantes, il faut alors accompagner le Dirigeant dans sa prise de décision. Décider c’est prendre des risques et c’est en pleine connaissance de cause qu’il pilotera au mieux des moyens dont il dispose en ajustant la prise de risque aux enjeux. 

La sécurité n’est pas un frein qui ralentit les opérations mais un moyen d’assurer la performance de l’entreprise en maitrisant les risques. 

La sécurité est le « frein indispensable » au pilotage de l’équipe dirigeante !

Dans cette série d’articles, Sarapis s’attèle à traiter les affirmations couramment entendues dans le domaine de la sécurité dans le but de réfuter les prétextes à ne pas traiter un problème. Ce n’est pas parce que l’on n’aurait pas de « baguette magique » qu’il faudrait laisser un problème de côté, au risque qu’il mette en péril une organisation. 

C’est parti pour éprouver ces idées reçues !

Faux semblant #1 : Le zéro défaut n’existe pas

Pour confondre la vacuité confortable de ce propos, prenons l’exemple de la santé : nous ne pouvons éviter toutes les maladies, et toutes les maladies ne s’attaquent pas à tout un chacun. Cependant, notre but est d’éviter une mort accidentelle. La mort est naturelle, nous mourrons tous un jour, mais nous nous attelons à éviter une mort brutale. Dans cette dialectique, le risque c’est la mort accidentelle et les maladies constituent des menaces. 

Le zéro défaut est donc une question de perspective : si l’on estime que le « défaut » concerne la menace, alors effectivement le zéro défaut n’existe pas, car il nous sera impossible d’éviter toutes les menaces d’autant que certaines sont pour le moins imprévues (ex : Corona virus). En revanche, si l’on considère le défaut en regard du risque, on peut alors considérer le zéro défaut comme une stratégie d’évitement de la mort brutale – accidentelle. La résilience est alors l’objectif à atteindre. 

Le concept de défense en profondeur peut alors servir de modèle. Il consiste à réduire la surface d’exposition et à ralentir l’attaque pour en maitriser les conséquences.  Vauban l’avait instauré dans l’architecture militaire au 17°siècle … on s’en est inspiré sur le plan sanitaire face à la pandémie du COVID 19. 

C’est en effet grâce à plusieurs « lignes de défenses » inter-agissantes tout en exerçant chacune un effet de sas, que l’attaque est identifiable, ralentie et jugulée. La résilience opère.

On peut aussi l’appliquer dans le domaine particulier qui nous occupe, la sécurité de l’information. Oui, on peut viser le zéro défaut. L’atteinte de cet objectif dépend d’une gouvernance d’entreprise engageant tous les moyens à mettre en œuvre pour dériver les conséquences de scénarios de risques métier.

Comme nous l’avons vu dans notre article précédent, la maîtrise du risque numérique constitue une fonction essentielle pour toute entreprise quelle que soit sa taille, tant la menace qui pèse sur elle devient un élément susceptible d’affecter son patrimoine informationnel, ses données clients et celles de ses partenaires. 

Si les besoins des TPE / PME sont aussi stratégiques que ceux des grandes entreprises, leurs moyens sont plus limités et doivent être engagés avec pragmatisme.

La sécurité dans un champ concurrentiel exacerbé s’avère être un facteur de performance pour des TPE & PME agiles et innovantes. 

Sarapis propose des orientations pour aborder la gestion de la sécurité avec cette vision opérationnelle.

Tout d’abord, comme dirait le philosophe, « connais-toi toi-même » :

• Il convient en l’occurrence de préciser les enjeux de l’organisation et d’identifier les risques qui l’empêcheraient d’atteindre ses objectifs métier. 
• Il est indispensable de mesurer et de contrôler la maturité sécurité des personnels et de ce qui relève de l’appétence aux risques des dirigeants, pour viser la croissance en ajustant les prises de risques.

Première étape : 

Diagnostiquer le niveau de sécurité de l’organisation par rapport à ses enjeux essentiels. Evaluer les conséquences de sinistres ainsi que leurs vraisemblances. Cela passe par la formalisation de scénarios de risques métier tels que pour exemples :

• Pertes d’exploitation liées à l’indisponibilité des systèmes d’information ayant pour causes :
  • Le chiffrement des systèmes par un cryptovirus porté par une cyberattaque
  • La destruction des systèmes par un sinistre 
  • …
• Perte de compétitivité de l’organisation ayant pour causes :
  • La divulgation ou le vol d’informations stratégiques par malveillance de personnel interne ou par hacking 

Le diagnostic du niveau de sécurité de l’organisation peut alors être établi en regard des vulnérabilités qui exposent les actifs informationnels identifiés par les scénarios de risques métier.  

Cet « état des lieux » est indispensable pour mettre en lumière les éléments essentiels sur lesquels porteront prioritairement les mesures de sécurité. Il s’agit de se concentrer sur la réalité des risques et d’éviter les scénarios improbables ou bien de prétendre prévoir toutes les menaces …

Deuxième étape : 

Élaborer les plans de traitement avec les mesures appropriées pour assurer par défaut la résilience de l’organisation, fil rouge d’une gestion pragmatique de la sécurité. 

Comme dirait le manager opérationnel, « Par quoi je commence ? » :

• Mobilisation des personnels par une politique volontaire de professionnalisation (plans de sensibilisation et de formation). Le facteur humain est une pièce maitresse dans le dispositif global de sécurité.  « La force de la cité ne réside pas dans ses remparts, mais dans le caractère de ses citoyens » relevait Thucydide au 5° siècle av. J-C.

• Réaliser des sauvegardes de « recours » de nature à garantir une reprise d’activité globale sure en cas de corruption ou de destruction massives des systèmes d’information (sauvegardes certifiées, testées et externalisées).

• Assurer une maitrise des accès et des droits reposant sur les besoins fonctionnels, bâtie sur une architecture qui puisse être facilement reconstruite en cas d’attaque (réplication et sauvegarde asynchrone).

• Maintenir les postes en condition de sécurité en effectuant la mise à jour de ses logiciels et en identifiant les composants obsolètes (isolation et / ou surveillance des composants qui ne sont plus maintenus).

Aujourd’hui, beaucoup de TPE / PME sont vulnérables et sont potentiellement en grand danger. Une démarche méthodologique de gestion de la sécurité privilégiant par défaut la prise en compte des conséquences et de la résilience à assurer en l’occurrence, répond mieux au pragmatisme attendu que l’analyse de tous les chemins d’attaque possibles, sans en garantir l’exhaustivité.  

SARAPIS a publié un guide méthodologique développant une approche résolument simple, rapide et communicante, accessible sur www.sarapis.fr

Aujourd’hui, la maîtrise du risque numérique constitue une fonction essentielle pour toute entreprise quelle que soit sa taille, tant la menace qui pèse sur elle devient un élément susceptible d’affecter son patrimoine informationnel, ses données clients et celles de ses sous-traitants. 
La non maîtrise des risques numériques affecte directement la chaîne de valeur de toute organisation. Autrement dit chaque entreprise est un maillon essentiel de la chaîne de sécurité de son écosystème.

Pour la chaîne de production, la sécurité est à l’origine un élément essentiel de la qualité, elle est devenue aujourd’hui synonyme de confiance dans son écosystème (partenaires, fournisseurs, clients).

La performance et la création de valeur des organisations repose sur la confiance indispensable à toutes leurs parties prenantes. 

Les PME, souvent maillon de la supply chain de grands groupes, doivent répondre à des exigences de conformité.

Quels sont les besoins des TPE & PME en termes de sécurité ?

Conformité et réglementation

La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes. Elles sont opposables aux entreprises quelle que soient leur taille. L’obligation de conformité impose de considérer le contrôle et le pilotage de la sécurité de l’information dans le cadre du processus de gouvernance de l’organisation.

Maîtrise des risques

Pour les entreprises de toutes tailles, il est primordial de protéger les savoir-faire, les données, les compétences. La perte irrémédiable de données engendrée par des cryptovirus, la fuite d’informations confidentielles, sont des risques qui peuvent mettre en grand danger la pérennité d’une entreprise. 

La maîtrise des risques est un objectif majeur de la gouvernance d’entreprise. 

Création de valeur

La gestion de la sécurité accompagne la création de valeur d’une entreprise. A travers l’analyse des risques et des solutions pour les maîtriser, de nouveaux développements et avantages concurrentiels peuvent opportunément apparaitre dans un contexte business où la protection des données devient un argument de vente.

La création de valeur est un objectif cardinal de la gouvernance d’entreprise.

Les TPE/PME ont les mêmes besoins que les grandes entreprises, cependant les moyens pour mettre en œuvre leurs dispositifs de sécurité diffèrent.

Les TPE/PME n’ont pas les moyens des grandes entreprises et leurs besoins s’expriment dans une dimension fortement teintée de pragmatisme. 

Elles ne disposent pas du volume de ressources humaines et d’expertises qui favorise les processus supports nécessaires à la performance. Pour exemple, les TPE & PME ne délèguent que rarement la gestion de la sécurité des systèmes d’information à un responsable complètement dédié à cette fonction.

La trésorerie tendue des TPE & PME limite leurs investissements et commande de viser la seule productivité au détriment de ce qui apparait à tort comme accessoire. Le contrôle et le pilotage de la sécurité, typiquement, ne sera alors pas organisé comme un système à part entière. Ce processus pourtant indispensable à la maîtrise des risques et à la création de valeur, n’est pas considéré comme « opérationnel » !

Cependant les TPE & PME profitent d’avantages moins accessibles aux grandes sociétés.

Agilité

Les TPE & PME de par leur taille ont la possibilité de s’adapter plus facilement au changement et au marché grâce à leur souplesse organisationnelle et à la fluidité de leurs process.

Rapidité 

La chaîne de décision des TPE & PME est plus réactive compte tenu de l’interactivité relationnelle d’acteurs plus facilement mobilisables dans une hiérarchie allégée.   

Agilité, Interactivité et rapidité alimentent le moteur de leur capacité à se réinventer, à explorer de nouveaux modèles indispensables à leur nécessaire transformation en regard de l’évolution des exigences du marché, sociétales et réglementaires. 

Dans notre prochain article nous aborderons les solutions qui s’offrent aux TPE et PME pour gérer efficacement une sécurité facteur de performance. 

Small1© est une plateforme puissante de gestion des risques et de pilotage de la sécurité de l’information. Découvrez ses spécificités novatrices dans notre flyer :