Dans cette série d’articles, Sarapis s’attèle à traiter les affirmations couramment entendues dans le domaine de la sécurité dans le but de réfuter les mauvais prétextes à ne pas traiter un problème. Ce n’est pas parce que l’on n’aurait pas de « baguette magique » qu’il faudrait laisser un problème de côté, au risque qu’il mette en péril une organisation. 

C’est parti pour éprouver ces idées reçues !

Faux semblant #4 : « la sécurité opérationnelle répond à des besoins concrets tandis que le contrôle et le pilotage sont théoriques et accessoires » 

La trésorerie tendue des TPE & PME limite leurs investissements et commande de viser la seule productivité au détriment de ce qui peut apparaitre comme accessoire. Le contrôle et le pilotage de la sécurité, typiquement, ne sera alors pas organisé comme un système à part entière. C’est aussi le cas pour de plus grandes entreprises. 
Cette fonction pourtant indispensable à la maitrise des risques et à la création de valeur, n’est souvent pas considérée comme « opérationnelle » ! C’est le maillon faible d’un processus global de gestion des risques qui peut être décliné dans ses phases :

  • D’analyse par 
    • L’identification et l’appréciation des risques
  • De traitement par
    • La définition de la stratégie de traitement des risques Métier
    • La sélection des mesures de sécurité 
    • La définition du plan de traitement
  • De contrôle et de pilotage par
    • La définition d’indicateurs en regard des objectifs Métier et des mesures de sécurité opérationnelle
    • La constitution de tableaux de bord par niveaux : métiers, managérial et sécurité opérationnelle.

L’actualité donne une grande résonnance médiatique aux préjudices que subissent les entreprises, dès lors que leurs patrimoines informationnels ou leurs processus vitaux sont la cible d’attaques dévastatrices.

Devant une cyberattaque qui paralyse une organisation pendant plusieurs semaines ou bien le piratage de données sensibles, une question peut légitimement se poser : « n’y avaient-ils donc pas de spécialistes sécurité dans cette organisation ? ».  

Que s’est-il donc-t-il passé :

  • Les spécialistes n’étaient pas compétents ?
  • Les dirigeants n’ont rien compris à la problématique ?
  • C’était un mauvais concours de circonstances ?

Non, il faut regarder au-delà. 

L’agrégation de briques techniques, procédurales et réglementaires ne peut garantir la sécurité globale d’une entreprise dès lors que les dispositifs de contrôle et de pilotage de la sécurité de l’information ne sont pas conçus comme un « système » en tant que tel.

Intégrer le pilotage de la sécurité de l’information dans le processus de gouvernance des organisations c’est réduire les difficultés qui empêchent les dispositifs d’être pleinement efficaces : toutes les fonctions de l’entreprise doivent partager des référentiels et des outils communs à propos de la sécurité de l’information. 

Il est alors possible de :

  • Contrôler que les actions menées sont conformes aux politiques et aux plans de traitement définis
  • Vérifier que les dispositifs mis en œuvre produisent les résultats attendus à partir de besoins métiers exprimés
  • Vérifier aussi que les dispositifs mis en œuvre sont performants : est-ce qu’on obtient les résultats attendus ? Dans le cas contraire, comment réadapter les dispositifs de sécurité ?

Or, les systèmes de pilotage sont souvent les parents pauvres des processus de gestion de la sécurité. C’est pourtant grâce au contrôle et au pilotage qu’on est capable d’atteindre les objectifs définis et d’ajuster les moyens déployés.

Le contrôle et le pilotage de la sécurité de l’information ont une dimension « opérationnelle » indéniable !