Sarapis, le blog

Si la finalité d’un système de sécurité de l’information doit permettre à une organisation d’ajuster les prises de risque pour atteindre ses objectifs Métier tout en respectant les intérêts des parties prenantes, il convient alors :

• De faire interagir les composantes du système (humaines, organisationnelles, fonctionnelles, techniques …),
• D’inclure dans un périmètre poreux par construction, le contexte économique, légal, réglementaire, technologique, les nouvelles menaces et les relations avec l’écosystème de l’entreprise,
• De réguler les résultats du système par une boucle d’interaction composante du système de pilotage. 

Suite à notre série d’articles sur la vision partagée évoquant un point de vue innovant sur les aspects opérationnels de la gestion de la sécurité, nous vous proposons de découvrir l’application concrète de la méthode Sarapis à travers les différentes phases de celle-ci.

Les 3 phases de la méthode Sarapis

Analyse de risques
Protéger le patrimoine informationnel de l’organisation passe par la connaissance préalable des risques auquel il est exposé. La phase d’analyse du risque vise à identifier les risques qui pourraient obérer l’atteinte des objectifs Métier. La phase d’analyse de risques consiste à identifier, quantifier et affecter des priorités aux risques. 

Traitement des risques
La décision de réduire, de transférer, de refuser ou d’accepter les risques est examinée dans la cadre d’une stratégie définie.
La phase de traitement des risques consiste à sélectionner les mesures à mettre en œuvre, et à définir les plans d’action. 

Pilotage des risques
Il convient de contrôler que les actions menées sont conformes aux politiques et aux plans de traitement définis. Il faut vérifier que les dispositifs mis en œuvre produisent les résultats attendus. Le dispositif de contrôle et de pilotage est conçu comme un « système » en tant que tel. La phase pilotage vise à définir des indicateurs sécurité en regard des objectifs Métier. 

Les scénarios de risque, pierres angulaires de la méthode, sont constitués par métier avec la contribution du manager ou « fonctionnel » Métier. 

Cette approche a pour effets vertueux : 

• De dresser le synoptique d’un risque Métier avec les composantes qui lui sont spécifiques : 
  • Conséquences sur les plans économique, financier, juridique, politique, écosystème, image de marque et réputation, 
  • Couple menaces / vulnérabilités, 
  • Couple Impact / vraisemblance, 
  • Actifs – ressources informationnelles. 
• D’assigner un responsable « propriétaire du risque » à un scénario de risque Métier,
• D’établir des objectifs et des indicateurs pour la gestion spécifique d’un risque Métier et un pilotage proactif de la sécurité, 
• D’impliquer et de mobiliser toutes les parties prenantes du système de management de la sécurité de l’information. 

La spécificité novatrice de la méthode Sarapis réside dans le concept de scénario de risque métier sous la forme d’un synoptique outil de communication, de management, et de pilotage. 
Grâce à la plateforme numérique Small1, la méthode Sarapis devient accessible à tous, peu importe son niveau de spécialisation. Découvrez ce logiciel innovant, pragmatique, et efficient de gestion de la sécurité de l’information ici : https://www.sarapis.fr/blog/small1/

Lorsque l’on parle de sécurité, on embrasse une vision qui mène à un nouveau paradigme :  La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.  

Dans cette série d’articles sur la vision partagée, nous vous dévoilons quelques extraits de la publication de Jean-Yves Oberlé en téléchargement ici : https://sarapis.fr/#download-book

Une vision partagée… sur la gouvernance 

La sécurité de l’information concerne toutes les fonctions de l’organisation avec pour chacune des responsabilités spécifiques. 

La gouvernance s’exerce dans le champ de la sécurité sur la base d’une structure et d’un processus.
La structure repose sur l’organisation de l’entreprise avec ses comités et son Système de Management de la Sécurité de l’Information (1) en place ou à mettre en place s’il y a lieu. Les dimensions décisionnelles, opérantes et de contrôle du processus de gouvernance pourront s’y exercer. 

La gouvernance d’entreprise en intégrant dans son champ la sécurité de l’information permet : 

• D’établir un pont solide entre stratégie et sécurité pour développer les performances de l’organisation de manière durable, 
• Une gestion de la sécurité par les risques Métier, 
• Un pilotage articulant les objectifs métiers aux indicateurs opérationnels de sécurité,

La sécurité n’est définitivement pas l’affaire des seuls spécialistes. 

… qui conduit à un nouveau paradigme 

La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.
La problématique complexe posée par la sécurité de l’information relève d’une vision globale. D’une part, elle ne peut pour être intelligible être réduite à la seule analyse de ses composantes élémentaires (technique, organisationnelle, ressources humaines, physique et envi- ronnemental, …). Et d’autre part, « La notion de complexité implique l’imprévisibilité et l’émergence possible du nouveau au sein du phénomène que l’on tient pour complexe » (2) 

Les objets et situations complexes ont en commun : 

• Le flou et l’imprécision avec la difficulté d’établir les dimensions et les frontières de l’objet étudié. Les lois et réglementations, les technologies, les comportements sociétaux, les nouvelles menaces … par leurs évolutions impactent le champ de la problématique. 
• L’instabilité et le temps. L’aléa joue un rôle dans l’évolution de la complexité. La gestion de crise et la communication donnent l’exemple de l’impossibilité de revenir à une situation antérieure dès lors que le résultat attendu ne serait pas satisfaisant. Les actions engagées produisent des effets qu’il devient impossible d’annuler. « Les dés ont été joués et il faut continuer ». Le temps est un des facteurs de la problématique. 
• L’ambiguïté dans un contexte de logiques antagonistes. Devant la recrudescence des problèmes posés par la malveillance interne et externe aux entreprises, notamment par les attaques d’ingénierie sociale (phishing) avec leurs conséquences graves pour les entreprises et les particuliers, le facteur humain doit être pris en compte. Il peut alors paraitre ambigu de « se prémunir de la malveillance humaine avec l’aide des humains dans l’entreprise ». L’humain est la menace et l’humain est la solution. 
• L’incertitude et l’imprévisibilité. La notion de complexité implique l’émergence possible du nouveau dans le problème observé. La complexité de la sécurité de l’information nécessite de concevoir un nouveau modèle avec une méthodologie systémique.

(1) La norme ISO27001 est le référentiel pour la construction d’un SMSI

(2) JL. Le Moigne La modélisation des systèmes complexes 

Notre prochain article clôturera cette série sur la vision partagée et abordera la notion de système étroitement liée à l’approche systémique. 

Lorsque l’on parle de sécurité, on embrasse une vision qui mène à un nouveau paradigme :  La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.  

Dans cette série d’articles sur la vision partagée, nous vous dévoilons quelques extraits de la publication de Jean-Yves Oberlé en téléchargement ici : https://sarapis.fr/#download-book

Une vision partagée… sur alignement et stratégie opérationnelle

La sécurité de l’information doit être considérée à partir de la stratégie de l’organisation. 
Elle sera modélisée selon la finalité visée : permettre à l’organisation d’ajuster les prises de risque pour atteindre ses objectifs métier tout en respectant les intérêts des parties prenantes. 

L’alignement du processus sécurité intègre alors : 

• Les objectifs de l’organisation en regard de sa vocation et de ses valeurs, 
• La conformité aux lois et règlementations, 
• La maitrise des risques opérationnels, 
• La performance et la création de valeur portées par des processus fiables, robustes et pérennes. 

Une vision partagée… sur le management opérant 

Le management mis en place doit permettre à l’organisation de mobiliser les ressources disponibles et de déployer les moyens engagés selon la politique de sécurité définie. Le mode de management consiste à déléguer :

• La gestion des risques aux managers métier,
• Les opérations sécurité aux responsables fonctionnels et ingénieurs,
• Le contrôle aux fonctions du contrôle et de l’audit interne,
• Le pilotage aux instances de gouvernance.

Il convient alors :

• De faire interagir les composantes du système modélisé (humaines, organisationnelles, fonctionnelles, techniques …), 
• D’inclure dans le périmètre du système, poreux par construction, le contexte économique, légal, réglementaire, technologique, social … 
• De réguler les résultats par une boucle d’interaction. 

C’est cette boucle d’interaction qui, dans une approche systémique, établit le pilotage sur la base de l’articulation des objectifs métiers et des indicateurs de sécurité opérationnelle.

Devant une problématique devenue complexe il convient d’admettre que la sécurité numérique n’est plus l’affaire des seuls spécialistes, mais l’affaire de chacun dans l’accomplissement de sa fonction dans l’entreprise. La gestion des risques doit passer par la mise en synergie de l’ensemble des compétences au sein des organisations, dans une vision partagée.

Changer de paradigme implique de développer une méthodologie de pilotage de la sécurité de l’information, des données et des procédés, disruptive. 

En effet, pour être pragmatique et efficiente, elle doit être :

• Simple à mettre en œuvre pour être accessible par l’ensemble des acteurs de l’organisation, en   dépassant les clivages spécialistes / non spécialistes, elle est donc respectueuse des usages métiers,
• Rapide pour limiter l’exposition aux risques et éviter l’effet tunnel,
• Proactive pour réduire le gap entre la prise de décision et l’imprévisibilité des menaces,
• Communicante pour établir un vecteur de gouvernance entre stratégie et sécurité de l’information,
• Outillée par une plateforme numérique, pour :
  • Faciliter l’application de la méthode et diminuer les coûts de mise en œuvre grâce au gain de temps et à la limitation des ressources humaines à engager,
  • Mettre en place un outil de communication entre toutes les parties prenantes du système de management de la sécurité de l’information adapté à l’organisation de l’entreprise.

L’approche dans sa dimension économique vise la rationalisation du coût de la mise à niveau de la sécurité, c’est pourquoi elle doit être centrée sur :

• Les services essentiels des métiers de l’entreprise pour optimiser l’utilisation des ressources,
• La dangerosité des menaces pour prioriser les mesures de protection, 
• La réalité des risques pour éviter les scénarios improbables,
• Un juste niveau de protection grâce à un scénario de risque métier qui donne une vue synoptique de ses composantes : gravité, menaces, vulnérabilités, ressources spécifiques.

La rationalisation des coûts peut notamment s’opérer en étant outillé. Sarapis présente sa plateforme Small1 et démontre l’économie réalisée grâce à son utilisation dans cet article : « Minimiser les coûts et maximiser l’efficacité  avec la plateforme numérique Small1 ».

Enfin, pour développer la synergie des compétences il convient d’aborder la sécurité de manière globale comme nous venons de le voir. Cet notre article vous donnera les clefs pour y arriver : « Les grands principes pour aborder la sécurité au niveau global ».

Un positionnement de la sécurité basé sur une vision linéaire de son évolution technique n’est plus adapté aux enjeux actuels. La mutation lexicale de la sécurité a suivi la chronologie des évolutions technologiques en troublant le champ sémantique. 
Ainsi la sécurité informatique des années 70 est devenue la sécurité des systèmes d’information dans les années 80, puis la sécurité de l’information dans les années 2000 et aujourd’hui la sécurité numérique se globalise en « cybersécurité » à l’heure de la généralisation du big data et de l’économie de la donnée.

Alors, le mot sécurité recouvre-t-il le même sens pour le spécialiste, l’utilisateur, le manager, ou le dirigeant ? 

Les différents acteurs de l’organisation se positionnent dans le champ de la sécurité avec une posture qui relève de leur culture professionnelle acquise par la pratique de leur métier ou de leurs responsabilités. 
Leur posture d’expert dans leur métier, y compris dans celui de la sécurité, les enferme dans leur domaine. Les différents aspects de la sécurité sont ainsi atomisés et vus comme à travers un kaléidoscope sans que personne ne soit en position de dresser une vue globale de la problématique et permettre de reconstituer le puzzle.

Il faut bien constater que les visions stratégique, opérationnelle et technique concernant la sécurité dans les organisations, ne couvrent pas le même champ.
Chacun de nous, utilisateurs, dirigeants ou experts, a des besoins et une compréhension différente et partielle du problème posé par la gestion des risques. 

Lorsque les spécialistes identifient des menaces, les managers évoquent des vulnérabilités et les dirigeants évaluent des risques économiques, juridiques … Ces différentes approches sont pertinentes et complémentaires. Il faut les faire converger et les coordonner, c’est ce qui sous-tend la maîtrise des risques à travers une politique de sécurité de l’information.

Il nous manque donc une vision globale et un langage commun, partagés au niveau corporate. 

Cette problématique complexe commande de changer de point de vue pour se parer efficacement.

Lorsque l’on parle de sécurité, on embrasse une vision qui mène à un nouveau paradigme :  La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation. 

Dans cette série d’articles sur la vision partagée, nous vous dévoilons quelques extraits de la publication de Jean-Yves Oberlé qui sortira prochainement : « Méthodologie de gestion des risques métier et de pilotage de la sécurité de l’information ».

Une vision partagée… sur le contexte

La sécurité de l’information, des données et des procédés est au cœur de la transformation numérique des sociétés et s’impose aux Opérateurs d’Importance Vitales et de Services Essentiels de par leur rôle stratégique dans le champ national et international.

Il convient de maitriser les risques dans un contexte de cybercriminalité.

La performance et la création de valeur des organisations repose sur la confiance indispensable à toutes leurs parties prenantes.

Les PME sont des composantes de la supply chain de grands groupes qui doivent elles aussi répondre à des exigences de conformité.

La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes.

L’obligation de conformité impose de considérer le contrôle et le pilotage de la sécurité de l’information dans le cadre du processus de gouvernance de l’organisation.

Les organisations doivent se conformer au Règlement Général sur la Protection des Données (RGPD) et, selon la nature de leurs activités, tenir compte des exigences :

– De la Loi de Programmation Militaire (LPM) pour les Opérateurs d’Importance Vitale français,

– Du Référentiel Général de Sécurité (RGS) pour les administrations françaises,

– De l’agrément ministériel pour l’Hébergement des Données de Santé (HDS),

– Du référentiel normatif ISO27001 en matière de Système de Management de la Sécurité de l’Information, indispensable à l’agrément ministériel pour l’Hébergement des Données de Santé et à la confiance nécessaire dans les relations collaboratives des écosystèmes,

– Bale III pour les établissements bancaires et financiers,

– Solvabilité II, pour les sociétés d’assurance,

– ISO27799 pour les organismes de santé.

Dans le prochain article, nous traiterons de la vision partagée sur l’alignement, la stratégie opérationnelle et le management opérant !

Lorsque l’on parle de sécurité, on fait face à une vision partagée qui mène à un nouveau paradigme :  La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation. 

Dans cette série d’articles sur la vision partagée, nous vous dévoilons quelques extraits de la publication de Jean-Yves Oberlé qui sortira prochainement : « Méthodologie de gestion des risques métier et de pilotage de la sécurité de l’information ».

Une vision partagée… sur la communication

Pour se comprendre dans le champ de l’entreprise, il faudrait être trilingue :

• Parler « business, valeur ajoutée et maîtrise des risques métier »,
• Parler « qualité de services opérationnels »,
• Parler « technologies, menaces et vulnérabilités ».

Il convient alors d’avoir un protocole de communication partagé par toutes les fonctions de l’organisation afin de construire un système de sécurité ayant pour finalité le développement des activités métier en combinant création de valeur et maitrise des risques.

Constituer un canal de communication entre les parties prenantes du système de management pour établir un vecteur de gouvernance entre stratégie et sécurité de l’information passe par une démarche structurée dans le cadre d’une méthodologie.

Les compétences hétérogènes des nombreux acteurs dans l’entreprise seront alors fédérées au-delà de leurs activités en silos et des référentiels spécifiques à leurs métiers.

Dans le prochain article, nous traiterons de la vision partagée sur le contexte !

La plateforme numérique Small1 est spécifique à la méthode originale développée par SARAPIS SAS (innovation de procédé). Elle permet de mettre en œuvre un processus de gestion des risques et de pilotage de la sécurité de l’information sur la base de scénarios de risques métier. 

L’ergonomie de Small1© facilite son utilisation par des non spécialistes de la sécurité : ses menus et choix d’options présentés de façon simple rendent son usage aisé et intuitif. Son appropriation par les collaborateurs de l’organisation ne nécessite qu’une présentation d’une heure au maximum et un accompagnement d’une journée pour en disposer de façon autonome.

La plateforme numérique Small1 possède les avantages suivants, elle :

• Minimise les coûts de mise en œuvre par gain de temps et limitation des ressources humaines à engager,
• Crée un vecteur de communication entre toutes les parties prenantes du système de management de la sécurité de l’information,
• Structure un processus de gestion des risques,
• Opère un système de pilotage intégré associant objectifs métier et objectifs de sécurité opérationnelle,
• Responsabilise les managers métier et informaticiens,
• Génère automatiquement :
  • Les scénarios de risque métier,
  • Les plans d’actions,
  • Les indicateurs et tableaux de bord,
  • La classification des actifs informationnels sensibles,

Small1 est accessible en mode SaaS et en mode local.

Le temps consacré à la réalisation d’une mission par un Responsable de la Sécurité des Systèmes d’Information avec  la méthode SARAPIS est de 20 jours / homme pour :

• L’interview de 10 responsables de la Direction Générale et des Directions métier,
• L’interview de 6 responsables de la Direction des Systèmes d’Information,
• La réalisation de chacune des étapes de la méthode et la production des livrables afférents :
  • Note de cadrage,
  • Analyse des enjeux,
  • Cartographie des ressources spécifiques sensibles,
  • Etude des menaces,
  • Rapport d’audit de vulnérabilités,
  • Scénarios de risque métiers,
  • Cartographie des risques,
  • Note de validation des risques et cartographie,
  • Note de stratégie de traitement des risques,
  • Liste des mesures de sécurité générale à appliquer,
  • Liste des mesures spécifiques de sécurité à appliquer,
  • Plans de traitement des risques,
  • Indicateurs sécurité,
  • Tableaux de bord sécurité,
  • 10 procédures de sécurité.

L’usage de la plateforme numérique Small1 permet d’économiser 7 jours sur la mission par l’automatisation des fonctions :

• Scénarios de risque métier,
• Cartographie,
• Liste des mesures de sécurité à appliquer,
• Liste des mesures spécifiques de sécurité à appliquer,
• Plans de traitement des risques,
• Indicateurs de sécurité,
• Tableaux de bord sécurité.

Ainsi le temps consacré à la réalisation de cette mission ne nécessite plus que 13 jours avec l’utilisation de Small1.

Dans les épisodes de l’intervention de Jean-Yves Oberlé – Président de Sarapis – à la conférence PECB, vous avez pu découvrir une approche différente et efficiente de la gestion de la sécurité de l’information.

Pour être efficiente, une méthodologie doit être : simple, rapide, communicante, et outillée.

Dans cet article, nous vous dévoilons quelques grands principes de la méthodologie SARAPIS^TM

La méthodologie SARAPIS^TM se différencie conceptuellement :

• Elle se fonde sur une méthodologie systémique,
• Elle est orientée Métier, elle s’appuie sur une vision des métiers vers les actifs informationnels,
• Elle couvre la majeure partie des risques essentiels encourus par l’organisation, au-delà des seuls risques « systèmes d’information ».   

Cette méthodologie innovante a été conçue et développée en synergie avec le monde universitaire ⁽¹⁾ et des entreprises ⁽²⁾.

Pragmatique, agile et performante, SARAPIS^TM donne aux responsables opérationnels les moyens du pilotage du processus de sécurité de l’information dans l’organisation, à des coûts optimisés.

(1) Université Aix-Marseille et Université de Genève.
(2) Régie des Transports Métropolitains Marseille, Labeyrie, Aéroport de Nice Cote d’Azur.

SARAPIS^TM est conforme aux référentiels normatifs ISO 27001, ISO27002, ISO27004, ISO27005.

L’application simple de SARAPIS^TM vise une gestion des risques et un pilotage de la sécurité de l’information par :

• La modélisation d’un dispositif de sécurité parfaitement adapté à la spécificité des enjeux, des métiers et de l’environnent d’une organisation en particulier, quel que soit sa taille,
• La protection spécifique des ressources stratégiques de façon prioritaire tout en assurant une sécurité standard basée sur l’état de l’art à l’ensemble des actifs informationnels de l’organisation,
• La production de dispositifs de sécurité rapidement adaptables en fonction de nouveaux besoins, de l’évolution des réglementations et des architectures SI de l’entreprise,
• Le partage de savoir-faire grâce au caractère heuristique (1) de la méthode,
• L’association des objectifs métier et des mesures opérationnelles de sécurité,
• La mise en place d’un vecteur de communication structuré,
• L’établissement d’un pont entre stratégie d’entreprise et sécurité de l’information.

⁽¹⁾ En théorie de la complexité, une heuristique est une méthode de calcul qui fournit rapidement pour un problème d’optimisation, une solution réalisable, pas nécessairement optimale. 

Les 3 phases de la méthode SARAPIS^TM

• Analyse de risques
  • Recensement des processus stratégiques Métier,
  • Articulation des processus stratégiques aux ressources spécifiques qui les supportent,
  • Identification des menaces qui visent ces ressources,
  • Audit de vulnérabilités qui exposent ces ressources,
  • Construction de scénarios de risques qui font interagir menaces et vulnérabilités sur les ressources spécifiques en regard des processus Métier,
  • Formalisation de la cartographie des risques métier.
• Traitement des risques
  • Définition de la stratégie de traitement des risques,
  • Sélection et planification des mesures de sécurité,
  • Élaboration des procédures de sécurité.
• Pilotage des risques
  • Élaboration des indicateurs permettant de mesurer l’atteinte des objectifs Métier et la bonne mise en œuvre des mesures de sécurité.
  • Constitution de tableaux de bord par niveaux : métier, managérial et sécurité opérationnelle.

Les scénarios de risque, pierres angulaires de la méthode, sont constitués par métier avec la contribution du manager ou « fonctionnel » Métier.

Cette approche a pour effets vertueux :

• De dresser le synoptique d’un risque Métier avec les composantes qui lui sont spécifiques :
  • Conséquences économique, financière, juridique, politique, image de marque et réputation,
  • Couples menaces / vulnérabilités,
  • Impact / vraisemblance,
  • Actifs / ressources informationnelles,
  • D’assigner un responsable « propriétaire du risque » à un risque métier,
  • D’établir des objectifs et des indicateurs pour la gestion spécifique d’un risque Métier et un pilotage proactif de la sécurité,
  • D’impliquer et de mobiliser toutes les parties prenantes du système de management de la sécurité de l’information.

Dans un prochain article, découvrez comment la méthodologie SARAPIS^TM est outillée avec notre logiciel Small 1.