Dans ce deuxième épisode, Jean-Yves Oberlé aborde les thèmes de la sécurité de l’information et de l’alignement stratégique.
Jusqu’alors la sécurité était l’affaire des techniciens, on parlait d’ailleurs de sécurité informatique et non de l’information.
Désormais, avec les nouvelles régulations liées à la sécurité et les obligations qui en découlent, la sécurité de l’information devient un sujet de Direction générale et les dirigeants d’entreprises se retrouvent garants de la sécurité et de la conformité.
La conformité n’est pas le seul pilier de la gouvernance, la gouvernance c’est aussi la performance et la création de valeur. Il s’agit d’atteindre des objectifs en regard d’une stratégie d’entreprise.
Conformité/maitrise des risques et performance/création de valeur relèvent d’un alignement stratégique. L’idée est donc de savoir comment transformer la sécurité pour qu’elle devienne un avantage concurrentiel. La sécurité de l’information est au cœur de la transformation numérique imposée par les nouveaux usages. Un changement de point de vue lui donne alors un autre relief.
La maitrise des risques aujourd’hui repose sur des standards et des méthodes qui pour la plupart n’adressent pas la dimension stratégique de l’entreprise : leur positionnement est univoque, dirigé des systèmes d’information vers les métiers. Ce sont des méthodes complexes conçues par des experts pour des spécialistes. Elles relèvent d’une approche analytique : on simplifie les problématiques rencontrées pour arriver à un niveau de détails et de précision qui vise la compréhension de la problématique et la possibilité de trouver des solutions en privilégiant l’exhaustivité dans le champ des systèmes d’information, plutôt que de modéliser un système de sécurité global ayant une finalité Métier partagée par l’ensemble de l’entreprise. Cette approche à l’inverse, est orientée de métiers vers les systèmes d’information.
Si on doit parler d’alignement stratégique et de gouvernance, il convient donc de changer de point de vue et d’avoir un autre regard sur la manière de traiter la sécurité de l’information.
Il faut avoir une approche transdisciplinaire puisque l’ensemble de l’entreprise et de ses métiers est concerné par la sécurité, à différents niveaux et selon différents points de vue. Les ingénieurs en parlent sous l’angle technique, il faut également que les métiers en parlent puisqu’ils déterminent leurs besoins de sécurité pour atteindre leurs objectifs business. La direction générale est aussi concernée puisqu’elle porte la stratégie de l’entreprise.
La problématique de la sécurité doit aujourd’hui être abordée de façon globale et transversale.
La sécurité concerne toutes les fonctions de l’entreprise. Elle n’est plus l’affaire des seuls spécialistes. Il convient alors d’avoir un protocole de communication partagé par toutes les fonctions de l’organisation et de construire un système de sécurité ayant pour finalité de permettre aux « métiers » de développer leurs activités en ciblant la création de valeur et la maitrise des risques.
Les questions qui se posent alors sont : comment concevoir un système de sécurité ayant cette finalité ? Comment mesurer le niveau de sécurité atteint et modifier les interactions des composantes du système selon les résultats attendus ? Comment articuler objectifs métier et indicateurs sécurité ? Comment construire le dispositif de contrôle et de pilotage qui garantisse la finalité définie ?
Ceci relève d’une approche systémique.
La suite au prochain episode…