Les organisations doivent considérer la sécurité de l’information comme un élément clé de leur nécessaire transformation numérique et l’intégrer dans le champ de leur gouvernance, afin de garantir leurs intérêts et de progresser de façon efficace et durable.
Or, dans une approche globale du sujet, toutes les méthodes d’analyse et de gestion des risques sont-elles prégnantes ?
Devant une problématique devenue complexe il convient d’admettre que la sécurité numérique n’est plus l’affaire des seuls spécialistes, mais l’affaire de chacun dans l’accomplissement de sa fonction dans l’entreprise. La gestion des risques doit passer par la mise en synergie de l’ensemble des compétences au sein des organisations, dans une vision partagée.
Changer de paradigme implique de développer une méthodologie de pilotage de la sécurité de l’information, des données et des procédés, disruptive. En effet, pour être pragmatique et efficiente, elle doit être :
- Simple à mettre en œuvre pour être accessible par l’ensemble des acteurs de l’organisation, en dépassant les clivages spécialistes / non spécialistes, elle est donc respectueuse des usages métiers,
- Rapide pour limiter l’exposition aux risques et éviter l’effet tunnel,
- Proactive pour réduire l’imprévisibilité des menaces liées aux retards dans la prise de décision,
- Communicante pour établir un vecteur de gouvernance entre stratégie et sécurité de l’information,
- Outillée par une plateforme numérique, pour :
-Faciliter l’application de la méthode et diminuer les coûts de mise en œuvre grâce au gain de temps et à la limitation des ressources humaines à engager,
-Mettre en place un outil de communication entre toutes les parties prenantes du système de management de la sécurité de l’information adapté à l’organisation de l’entreprise.
L’approche dans sa dimension économique vise la rationalisation du coût de la mise à niveau de la sécurité, c’est pourquoi elle doit être centrée sur :
- Les services essentiels des métiers de l’entreprise pour optimiser l’utilisation des ressources,
- La dangerosité des menaces pour prioriser les mesures de protection,
- La réalité des risques pour éviter les scénarios improbables,
- Un juste niveau de protection grâce à un scénario de risque métier qui donne une vue synoptique de ses composantes : gravité, menaces/vulnérabilités, ressources spécifiques.