Dans cette vidéo, Jean-Yves Oberlé – Président de Sarapis – aborde le sujet des systèmes de pilotage pour une meilleure efficience dans la gestion de la sécurité de l’information.
Dans les processus de gestion de la sécurité de façon générale, on sait analyser les risques et définir des mesures pour protéger le patrimoine informationnel de l’entreprise.
Ensuite il convient de contrôler que les actions menées sont conformes aux politiques et aux plans de traitement définis. Mais il faut aussi vérifier que les dispositifs mis en œuvre sont performants : est-ce qu’on obtient les résultats attendus ? Dans le cas contraire, comment réadapter les dispositifs de sécurité ?
Or, les systèmes de pilotage sont souvent les parents pauvres des processus de gestion de la sécurité. C’est pourtant grâce au contrôle et au pilotage qu’on est capable d’atteindre les objectifs définis et d’ajuster les moyens déployés.
Si la finalité d’un système de sécurité de l’information doit permettre à une organisation d’ajuster les prises de risque pour atteindre ses objectifs métier, il convient alors :
– De faire interagir les composantes du système (humaines, organisationnelles, fonctionnelles, techniques …),
– D’inclure dans le périmètre du système, poreux par construction, le contexte économique, légal, réglementaire, technologique, humain …
– De réguler les résultats dans une boucle d’interaction.
C’est cette boucle d’interaction qui dans une approche systémique, établit le pilotage sur la base de l’articulation des objectifs métiers et des indicateurs de sécurité opérationnelle.
La suite au prochain épisode !