Si la finalité d’un système de sécurité de l’information doit permettre à une organisation d’ajuster les prises de risque pour atteindre ses objectifs Métier tout en respectant les intérêts des parties prenantes, il convient alors :

  • De faire interagir les composantes du système (humaines, organisationnelles, fonctionnelles, techniques …),
  • D’inclure dans un périmètre poreux par construction, le contexte économique, légal, réglementaire, technologique, les nouvelles menaces et les relations avec l’écosystème de l’entreprise,
  • De réguler les résultats du système par une boucle d’interaction composante du système de pilotage. 

Suite à notre série d’articles sur la vision partagée évoquant un point de vue innovant sur les aspects opérationnels de la gestion de la sécurité, nous vous proposons de découvrir l’application concrète de la méthode Sarapis à travers les différentes phases de celle-ci.

Les 3 phases de la méthode Sarapis

Analyse de risques
Protéger le patrimoine informationnel de l’organisation passe par la connaissance préalable des risques auquel il est exposé. La phase d’analyse du risque vise à identifier les risques qui pourraient obérer l’atteinte des objectifs Métier. La phase d’analyse de risques consiste à identifier, quantifier et affecter des priorités aux risques. 

Traitement des risques
La décision de réduire, de transférer, de refuser ou d’accepter les risques est examinée dans la cadre d’une stratégie définie.
La phase de traitement des risques consiste à sélectionner les mesures à mettre en œuvre, et à définir les plans d’action. 

Pilotage des risques
Il convient de contrôler que les actions menées sont conformes aux politiques et aux plans de traitement définis. Il faut vérifier que les dispositifs mis en œuvre produisent les résultats attendus. Le dispositif de contrôle et de pilotage est conçu comme un « système » en tant que tel. La phase pilotage vise à définir des indicateurs sécurité en regard des objectifs Métier. 

Les scénarios de risque, pierres angulaires de la méthode, sont constitués par métier avec la contribution du manager ou « fonctionnel » Métier. 

Cette approche a pour effets vertueux : 

  • De dresser le synoptique d’un risque Métier avec les composantes qui lui sont spécifiques : 
    • Conséquences sur les plans économique, financier, juridique, politique, écosystème, image de marque et réputation, 
    • Couple menaces / vulnérabilités, 
    • Couple Impact / vraisemblance, 
    • Actifs – ressources informationnelles. 
  • D’assigner un responsable « propriétaire du risque » à un scénario de risque Métier,
  • D’établir des objectifs et des indicateurs pour la gestion spécifique d’un risque Métier et un pilotage proactif de la sécurité, 
  • D’impliquer et de mobiliser toutes les parties prenantes du système de management de la sécurité de l’information. 

La spécificité novatrice de la méthode Sarapis réside dans le concept de scénario de risque métier sous la forme d’un synoptique outil de communication, de management, et de pilotage. 
Grâce à la plateforme numérique Small1, la méthode Sarapis devient accessible à tous, peu importe son niveau de spécialisation. Découvrez ce logiciel innovant, pragmatique, et efficient de gestion de la sécurité de l’information ici : https://www.sarapis.fr/blog/small1/