Episode 6: La communication dans la gestion de la sécurité: la clef pour une meilleure transversalité

Chacun de nous, utilisateur, manager en entreprise ou spécialiste de la sécurité, a des besoins et une compréhension différente et parcellaire du problème.

Les différentes parties prenantes dans une organisation expriment des attentes différentes. Les différents acteurs dans le large champ de la sécurité de l’information ne partagent pas une même vision.

Chacun exprime des besoins qui ne sont pas complètement satisfaits.

Les dirigeants comprennent que des obligations légales, réglementaires et de performance s’imposent à leur organisation. Ils s’appuient alors sur leurs collaborateurs directs pour que : informaticiens, juristes, responsables sécurité, leur apportent les dispositifs adaptés à leurs attentes.

Les dirigeants ont une perception directe de leur responsabilité vis-à-vis des exigences de conformité et de performance qui s’imposent à leur organisation.

Les réponses de leurs collaborateurs directs ne sont pas toujours de nature à les assurer de l’efficacité des moyens engagés.  Ils expriment alors leur doute sur les dispositifs mis en place.

Les directeurs des systèmes d’information ont une compréhension opérationnelle de leurs responsabilités en matière de services à rendre aux directions métier et à l’obligation de performance liée à leurs objectifs et à leurs SLA. Ils expriment leurs attentes vis-à-vis de leurs chefs de services et du pôle de sécurité (lorsqu’il est dans le périmètre de leur responsabilité) pour qu’ils définissent des plans d’actions de nature à satisfaire la demande de la DG relative à la conformité et à la performance voulues.

Les plans d’action définis n’ont pas toujours la cohérence attendue par les directeurs des systèmes d’information et ne sont pas toujours mis complètement en œuvre. Le manque d’articulation avec les métiers, l’insuffisance de ressources humaines, ne facilitent pas l’adéquation de la réponse à la demande.

Ils expriment parfois leurs attentes insatisfaites du niveau d’engagement budgétaire vis-à-vis de leur DG qui associe naturellement optimisation financière et performance. Les directeurs des systèmes d’information relaient les contraintes budgétaires qui leur sont imposées et arbitrent parmi les projets ceux qui contribuent au développement et à la productivité de l’organisation, plutôt que ceux qui protégeraient de risques hypothétiques.

Les Responsables de la sécurité des systèmes d’information ont une vision attentive des menaces et des vulnérabilités qui exposent les infrastructures informatiques, les données et les processus. Ils sont conscients de leur responsabilité sur l’efficacité des dispositions de protection fonctionnelles et techniques mises en œuvre et sur la gestion des incidents qu’ils opèrent. Ils sont généralement très compétents dans leur domaine technique et appréhendent bien les méthodologies d’analyse de risque des systèmes d’information.

Ils ressentent avec frustration l’insuffisance des moyens qui leur sont attribués pour combler toutes les failles qu’ils identifient.

Les pôles de sécurité sont centrés sur leur domaine de compétence et ne veulent pas se substituer aux directions métier de l’organisation pour définir leurs besoins en matière de sécurité de l’information.

Les directions métier ne sont que peu sollicitées dans leur contexte d’activité pour s’approprier leurs rôles d’acteurs dans le processus de gestion des risques. Ils maitrisent peu les critères de la sécurité pour exprimer directement leurs besoins. Elles considèrent que la sécurité est le domaine d’expertise des « informaticiens » et qu’ils n’ont que peu d’influence sur des systèmes à forte composantes technologiques.

Les différents acteurs de l’organisation se positionnent dans le champ de la sécurité avec une posture qui relève de leur culture professionnelle acquise par la pratique de leur métier ou de leurs responsabilités dans leur métier. Leur posture d’expert dans leur métier y compris celui de la sécurité, les enferment dans leur domaine et leur fait refuser d’émettre des avis et d’opérer des choix à la place de leurs homologues experts dans leurs domaines.

Les différents aspects de la sécurité de l’information sont ainsi parcellisés et vue comme à travers un Kaléidoscope sans que personne ne soit en position de dresser une vue globale de la problématique relative à la sécurité de l’information et de permettre de reconstituer le puzzle.

Il manque une vision commune et un langage commun, partagé.

Ainsi, pour se faire entendre dans le champ de l’entreprise, il faudrait être trilingue :

  • Parler « business, valeur ajoutée et maitrise des risques »,
  • Parler « qualité de services opérationnels »,
  • Parler « menace, vulnérabilités et technologies ».

Dans cette grande discussion, quelle est notre langue maternelle ? Quelle est la langue de notre interlocuteur ? Est-on polyglotte ?

Dans cette « tour de Babel », s’il fallait un coupable, serait-ce le directeur des systèmes d’information, plus occupé à adapter les rapports selon ses positions qu’à jouer son rôle de traducteur et d’intermédiaire entre DG et opérationnels ? les métiers qui ne savent pas exprimer leurs besoins ? les informaticiens qui pratiquent un langage exclusif ?

Constituer un canal de communication entre les parties prenantes du système de management pour établir un vecteur de gouvernance entre stratégie et sécurité de l’information passe par une communication structurée dans le cadre d’une méthodologie.

Episode 5: L’importance d’un système de pilotage de la sécurité de l’information

Dans cette vidéo, Jean-Yves Oberlé – Président de Sarapis – aborde le sujet des systèmes de pilotage pour une meilleure efficience dans la gestion de la sécurité de l’information.

Dans les processus de gestion de la sécurité de façon générale, on sait analyser les risques et définir des mesures pour protéger le patrimoine informationnel de l’entreprise.

Ensuite il convient de contrôler que les actions menées sont conformes aux politiques et aux plans de traitement définis. Mais il faut aussi vérifier que les dispositifs mis en œuvre sont performants : est-ce qu’on obtient les résultats attendus ? Dans le cas contraire, comment réadapter les dispositifs de sécurité ?

Or, les systèmes de pilotage sont souvent les parents pauvres des processus de gestion de la sécurité. C’est pourtant grâce au contrôle et au pilotage qu’on est capable d’atteindre les objectifs définis et d’ajuster les moyens déployés.

Si la finalité d’un système de sécurité de l’information doit permettre à une organisation d’ajuster les prises de risque pour atteindre ses objectifs métier, il convient alors :

–      De faire interagir les composantes du système (humaines, organisationnelles, fonctionnelles, techniques …),

–      D’inclure dans le périmètre du système, poreux par construction, le contexte économique, légal, réglementaire, technologique, humain …

–      De réguler les résultats dans une boucle d’interaction.

C’est cette boucle d’interaction qui dans une approche systémique, établit le pilotage sur la base de l’articulation des objectifs métiers et des indicateurs de sécurité opérationnelle.

La suite au prochain épisode !

Episode 4: Une démarche top-down pour une meilleure efficience

Dans la gestion de la sécurité de l’information, il apparait essentiel d’avoir une démarche métier vers l’information et privilégier la spécificité de chaque métier, VS une démarche des systèmes d’information vers la stratégie de l’entreprise et ses métiers.

Construire un scénario de menace du type « subtiliser des informations R&D avec une clef USB et engendrer une perte de compétitivité » réduit le spectre de l’analyse des risques et l’efficience des solutions de sécurité. Alors qu’une démarche top-down, permet d’examiner l’ensemble des menaces relatives au scénario de risque « perte de compétitivité de l’entreprise à la suite d’un vol ou une divulgation d’information ».

Pour exemple, l’interview d’un patron R&D à propos de la fuite de données relative à ses travaux, procédés et savoir-faire, permet d’identifier des menaces :

  • Internes de divulgation de données sensibles par erreur ou par malveillance par des personnels dans l’entreprise,
  • Externes de phishing, cyberattaques …

Cette approche pragmatique permet alors d’examiner en particulier les vulnérabilités des ressources exposées dans ce scénario de risque métier spécifique, en faisant un focus sur les processus, bases de données, fichiers, équipements, etc.

Pour répondre à ce scénario de risque, la définition des solutions de protection dans le champ organisationnel, fonctionnel, humain seront mieux adaptées. 

Dans cette démarche, chaque métier identifie ses risques et les conséquences pour l’entreprise en termes de perte de compétitivité, économique, financière, image de marque, de conséquences, juridique, sociale …

L’approche Top down dans le domaine de la sécurité de l’information permet de faire un focus sur les ressources stratégiques et ainsi « ne pas passer à côté de l’essentiel ».  

Cette démarche vise l’efficience et l’économie de moyens par la protection spécifique des ressources stratégiques de façon prioritaire tout en assurant une sécurité standard basée sur l’état de l’art, à l’ensemble des actifs informationnels de l’organisation.

La suite au prochain épisode.

Episode 3: les problématiques complexes et la sécurité de l’information

Pour être intelligible, la problématique de la sécurité de l’information et son alignement stratégique, ne peut être réduite à la seule analyse de ses composantes élémentaires (technique, organisationnelle, humaines, physique, environnemental, …), tel que l’on procède avec les standards et méthodes « analytiques » qui par leurs approches visent :

  • L’exhaustivité -> référentiel fermé  
  • La mesure exacte -> complication
  • La précision -> détail

En effet la problématique est complexe.

Les objets et situations complexes ont en commun :

  • Le flou et l’imprécision avec la difficulté d’établir les dimensions et les frontières de l’objet étudié.
    Les lois et réglementations, les technologies, les comportements sociétaux … par leurs évolutions impactent le champ de la problématique étudiée.
  • L’aléa et l’instabilité, le temps joue un rôle dans l’évolution de la complexité.
    La gestion de crise et la communication donnent l’exemple de l’impossibilité de revenir à une situation antérieure dès lors que le résultat attendu ne serait pas satisfaisant. Les actions engagées produisent des effets qu’il devient impossible d’annuler. « Les dés ont été joués et il faut continuer ». Le temps est un des facteurs de la problématique
  • L’ambiguïté dans un contexte de logiques antagonistes.  
    Devant la recrudescence des problèmes posés par la malveillance interne et externe aux entreprises, notamment par les attaques d’ingénierie sociales (phishing) avec leurs conséquences graves pour les entreprises et les particuliers, le facteur humain doit être pris en compte. Il peut alors paraitre ambigu de « se prémunir de la malveillance humaine avec l’aide des humains dans l’entreprise ».
  • L’incertitude et l’imprévisibilité.
    La notion de complexité implique l’émergence possible du nouveau dans le problème observé.

La problématique posée par la sécurité de l’information relève d’une approche holistique pour réduire sa complexité. Elle nécessite d’être étudiée avec une démarche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.

Alignement stratégique et gouvernance vise la maitrise des risques et la performance. Le contrôle et le pilotage de la sécurité de l’information doit être conçu comme un système à part entière pour :

  • Articuler objectifs métier et indicateurs sécurité,
  • Mesurer le niveau de sécurité atteint et modifier les interactions des composantes du système

       selon les résultats attendus.

Ceci relève d’une approche systémique.

Il est convenu de définir un système comme un ensemble d’éléments en interaction dynamique, organisés en fonction d’un but.

Si la finalité d’un systèmede sécurité de l’information doit permettre à une organisation d’ajuster les prises de risque pour atteindre ses objectifs métier tout en respectant les intérêts des parties prenantes, il convient alors :

  • De faire interagir les composantes humaines, organisationnelles, fonctionnelles, techniques … du système mis en œuvre,
  • D’inclure dans un périmètre poreux par construction, le contexte économique, légal, réglementaire, technologique, sociétal …
  • De réguler les résultats obtenus par une boucle d’interaction.

La suite au prochain épisode…

Episode 2: pilotage de la sécurité et alignement stratégique

Dans ce deuxième épisode, Jean-Yves Oberlé aborde les thèmes de la sécurité de l’information et de l’alignement stratégique.

Jusqu’alors la sécurité était l’affaire des techniciens, on parlait d’ailleurs de sécurité informatique et non de l’information.

Désormais, avec les nouvelles régulations liées à la sécurité et les obligations qui en découlent, la sécurité de l’information devient un sujet de Direction générale et les dirigeants d’entreprises se retrouvent garants de la sécurité et de la conformité.

La conformité n’est pas le seul pilier de la gouvernance, la gouvernance c’est aussi la performance et la création de valeur. Il s’agit d’atteindre des objectifs en regard d’une stratégie d’entreprise.

Conformité/maitrise des risques et performance/création de valeur relèvent d’un alignement stratégique. L’idée est donc de savoir comment transformer la sécurité pour qu’elle devienne un avantage concurrentiel. La sécurité de l’information est au cœur de la transformation numérique imposée par les nouveaux usages. Un changement de point de vue lui donne alors un autre relief.

La maitrise des risques aujourd’hui repose sur des standards et des méthodes qui pour la plupart n’adressent pas la dimension stratégique de l’entreprise : leur positionnement est univoque, dirigé des systèmes d’information vers les métiers. Ce sont des méthodes complexes conçues par des experts pour des spécialistes. Elles relèvent d’une approche analytique : on simplifie les problématiques rencontrées pour arriver à un niveau de détails et de précision qui vise la compréhension de la problématique et la possibilité de trouver des solutions en privilégiant l’exhaustivité dans le champ des systèmes d’information, plutôt que de modéliser un système de sécurité global ayant une finalité Métier partagée par l’ensemble de l’entreprise. Cette approche à l’inverse, est orientée de métiers vers les systèmes d’information.

Si on doit parler d’alignement stratégique et de gouvernance, il convient donc de changer de point de vue et d’avoir un autre regard sur la manière de traiter la sécurité de l’information.

Il faut avoir une approche transdisciplinaire puisque l’ensemble de l’entreprise et de ses métiers est concerné par la sécurité, à différents niveaux et selon différents points de vue. Les ingénieurs en parlent sous l’angle technique, il faut également que les métiers en parlent puisqu’ils déterminent leurs besoins de sécurité pour atteindre leurs objectifs business. La direction générale est aussi concernée puisqu’elle porte la stratégie de l’entreprise.

La problématique de la sécurité doit aujourd’hui être abordée de façon globale et transversale.

La sécurité concerne toutes les fonctions de l’entreprise. Elle n’est plus l’affaire des seuls spécialistes. Il convient alors d’avoir un protocole de communication partagé par toutes les fonctions de l’organisation et de construire un système de sécurité ayant pour finalité de permettre aux « métiers » de développer leurs activités en ciblant la création de valeur et la maitrise des risques.

Les questions qui se posent alors sont : comment concevoir un système de sécurité ayant cette finalité ? Comment mesurer le niveau de sécurité atteint et modifier les interactions des composantes du système selon les résultats attendus ? Comment articuler objectifs métier et indicateurs sécurité ? Comment construire le dispositif de contrôle et de pilotage qui garantisse la finalité définie ?  

Ceci relève d’une approche systémique.

La suite au prochain episode…

Episode 1 : pourquoi les dispositifs de contrôle et de pilotage ne sont pas pleinement efficients ?

Dans cette vidéo, Jean-Yves Oberlé – Président de Sarapis – aborde le sujet des dispositifs de contrôle et de pilotage de la sécurité de l’information qui ne parviennent pas à être pleinement efficients.

Comme on ne peut pas imaginer aujourd’hui acheter une voiture avec la ceinture de sécurité en option, la sécurité de l’information doit être tout autant embarquée dans la transformation numérique des organisations. Pour ce faire, cela nécessite un changement de point de vue et de méthode.

À travers son expérience et son expertise, Jean-Yves Oberlé a pu aborder la sécurité de l’information de différents points de vue tout au long de sa carrière. En effet, le responsable d’audit interne, du contrôle interne n’aura pas le même point de vue que le responsable de sécurité, ni les mêmes standards et outils. Et c’est précisément là que réside la difficulté qui empêche les dispositifs d’être pleinement efficaces : on ne parle pas le même langage entre toutes les fonctions dans l’entreprise, tout en parlant pourtant de la même chose, la sécurité de l’information.

Pour en avoir un vrai contrôle et un vrai pilotage il semble impératif d’avoir les mêmes protocoles d’échanges, ainsi que des dispositifs de construction cohérents et articulés. Cela relève donc d’une autre démarche que celle que l’on a aujourd’hui.

Les dispositifs de contrôle et de pilotage de la sécurité de l’information actuels dans les entreprises sont agrégés par construction : il y a inévitablement des faiblesses liées au fait que les dispositifs de contrôle et de pilotage n’ont pas été conçus comme un « système » global en tant que tel. Nous en sommes toujours réduits à revoir et reconsidérer les causes et les effets des dysfonctionnements. Dans une boucle sans fin, malheureusement nous rajoutons chaque foi une couche supplémentaire de standards et de réglementations.
La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes :

Règlement Général sur la Protection des Données (RGPD)

Loi de Programmation Militaire (LPM)

Hébergement des Données de Santé (HDS)

Système de Management (ISO 27001)

L’obligation de conformité impose de considérer le contrôle et le pilotage de la sécurité de l’information dans le cadre du processus de gouvernance de l’organisation. La sécurité des données, de l’information, des procédés concerne toutes les fonctions de l’entreprise, elle n’est pas l’affaire des seuls spécialistes de la sécurité.

Dans le prochain épisode, Jean-Yves Oberlé abordera les solutions pour résoudre la problématique de la sécurité de l’information et de l’alignement stratégique.

Plus de règles, plus de contrôles… et plus de risques

Jean-Yves Oberlé dresse un triple constat.

D’abord, les pertes attribuables aux risques opérationnels augmentent. Dans les affaires qui défraient notamment la chronique des établissements bancaires et financiers, l’origine des pertes réside dans un défaut de contrôle interne mais aussi externe.

Dans le même temps, le nombre des réglementations et des acteurs en charge du contrôle augmentent. Les réglementations, en effet, ne manquent pas, de même que les nombreux acteurs et structures internes ou externes en charge du contrôle ou de la réduction des risques, depuis les commissaires aux comptes jusqu’à l’autorité des marchés financiers, en passant par les comités d’audit et les responsables du contrôle permanent (dont les responsables de la sécurité) et du contrôle périodique.

Troisième constat : les moyens mis en œuvre pour contrôler les risques augmentent, eux aussi. Ainsi, dans le secteur bancaire, les effectifs dédiés à la gestion des risques sont en croissance régulière : effectifs exerçant une fonction d’inspecteur, d’auditeur, de déontologue et emplois d’analyste des risques. De même, les banques ont investi des centaines de millions d’euros pour mettre en place des systèmes d’information de gestion des risques afin de se mettre en conformité avec les exigences réglementaires.

« Alors, pourquoi une gestion des risques aussi coûteuse pour un résultat pour le moins limité ? » demande Jean-Yves Oberlé. Qui apporte la réponse à cette question : « De nombreux experts ont des niveaux de compétences hétérogènes et travaillent trop souvent en silo, sur des bases différentes et en utilisant des référentiels spécifiques. »

En fait, les différents acteurs n’ont pas toujours la même conception de l’entreprise (découpage en processus ou découpage organisationnel). Les modèles de gestion des risques peuvent différer, les dispositifs de contrôle s’agrègent mais ne s’articulent pas. Pour exemple les référentiels de travail sont différents entre l’audit interne, les contrôles permanents ou les contrôles informatiques.

Quels sont les points communs entre le référentiel d’appréciation du risque du responsable risques opérationnels, du responsable conformité informatique, du RSSI, du responsable des assurances informatiques, de l’auditeur informatique ?

Quatre voies d’amélioration sont suggérées par Jean-Yves Oberlé.

Première piste : « Une gouvernance efficace et efficiente de la gestion des risques. » Celle-ci se caractérise par

  • Une politique de gestion des risques validée par le conseil d’administration, les instances de pilotage et de coordination.
  • Un processus de gestion des risques unique et partagé intégrant la gestion de l’inattendu,
  • Une gestion pragmatique des risques s’appuyant sur la sécurité de l’information, la continuité d’activité, le contrôle interne.

Deuxième piste possible : « Des référentiels mis en cohérence et utilisés judicieusement et des acteurs compétents. » Les référentiels et les méthodes sont pléthoriques… mais n’expliquent jamais le comment-faire. Une formation adaptée et une expérience professionnelle des acteurs de la gestion des risques est nécessaire.

Troisième voie : « considérer la problématique de la maîtrise des risques comme un problème complexe ». La théorie de la complexité nous amène à considérer l’efficience des dispositifs de contrôle dans leurs interactions plus que dans la sophistication de chacune des composantes du contrôle, ce qui suppose d’avoir une vision d’urbanisation des dispositifs de contrôle insiste Jean-Yves Oberlé.

Enfin, un quatrième axe d’amélioration : « construire des systèmes d’information de gestion des risques intégrés ». L’organisation des contrôles est un ensemble d’éléments en interaction, regroupés au sein d’une structure régulée, ayant un système de communication (système d’information) pour faciliter la circulation de l’information, dans le but de répondre à des besoins et d’atteindre des objectifs déterminés. »

Towards European Digital Strategic Autonomy

The Digital Single Market represents a unique opportunity to enhance citizens’ confidence in their digital experience and for Europe to lead the worldwide digital revolution. Europe should take advantage of its digital strategic autonomy and rely on the EU to strengthen its cybersecurity capacities. As cyber threats become increasingly sophisticated, Europe’s preparation and response to these threats must also evolve. EU countries need to heavily invest in key technologies. At the same time, it is crucial to ensure that these technologies provide the same security level across Europe, especially for critical infrastructures, which is why European cybersecurity certification and ethical hacking should be encouraged.

To enhance its digital autonomy and to protect its digital sovereignty, the European Union must cater for the entire cybersecurity lifecycle within its legislation and initiatives: prediction, prevention, detection and response.

Furthermore, in a geopolitically changing world, trust among EU Member States is a real asset that should be valued. With the cybersecurity industry holding the potential to become one of the most important economic drivers in Europe, products certified under the European certification framework should be promoted. European start-ups should be supported to give them the opportunity to scale up and reach critical mass. Europe currently has a trade deficit for cybersecurity solutions which could be addressed by helping Member States become leaders in the field which in time may enable Europe to become a net exporter.

The fact that European cybersecurity experts can be found around the world working for global leaders demonstrates Europe’s expertise in the field. If the EU could incentivise experts to stay in Europe, it could considerably strengthen its cybersecurity ecosystem.

All these issues should be tackled at the European level. The digital world knows no borders and Member States should join forces within the EU. A comprehensive European cybersecurity strategy is needed to achieve digital strategic autonomy, protect Europe’s digital sovereignty and compete on the global market.

Discover our 10 point-manifesto for European digital strategic autonomy: click here to download

24ème Conférence de l’Association Information & Management (AIM)

Nantes les 3, 4 et 5 juin 2019

L’AIM traite l’ensemble des thèmes « systèmes d’information », dont celui de la sécurité pour lequel Benoît Fantino (Sarapis) a animé une session « poster » instaurant le débat et les échanges autour d’une problématique centrale en sécurité des SI : la décision pour le risque SI

Perception des risques SI et décision pour la sécurité

Dans la recherche académique, la sécurité des systèmes d’information est particulièrement étudiée sous l’angle de la gestion des utilisateurs et la capacité de ces derniers à s’approprier et respecter les comportements définis par leur organisation. Malgré la richesse de ces études, les incidents de sécurité et leurs coûts pour les organisations ne cessent de croitre. Nous proposons alors d’étudier différemment la SSI, soit l’approche même des dirigeants pour la sécurité et pour le risque SI. Parce qu’ils ont la capacité à définir les comportements adéquats dans leur organisation pour la SSI et davantage pour leur regard sur les risques considérer pour décider de s’en prémunir, il nous apparait pertinent d’étudier comment ils appréhendent les conséquences, l’expositions et les menaces pesant sur leur SI, selon un point de vue strictement SSI et selon un point de vue de la perception des risques.

Le contexte de la recherche et la problématique sont ainsi développés :

Nos résultats montrent que la SSI est abordée selon une approche de décision pour le risque SI, conformément à la théorie psychologique du risque et à travers d’un triptyque menace, exposition, conséquence. Ces résultats mettent aussi en évidence des facteurs idiosyncrasiques, dont nous relevons notamment l’expérience, la formation et les compétences, qui conditionnent la décision pour les mesures de sécurité. Enfin, ils révèlent que les conséquences d’un risque déjà vécu, dès lors qu’elles sont peu ou pas considérées comme impactantes, ne représentent pas une influence majeure à la décision de mettre en œuvre les mesures de sécurité.

Les apports théoriques de ces travaux démontrent que le risque, et ainsi la décision pour la SSI, est considéré selon la menace perçue, l’exposition perçue et les conséquences redoutées. Cependant, l’accent est mis sur la considération des menaces, davantage que l’exposition. Ce point peut alors expliquer la faiblesse de certains dispositifs de SSI, les décideurs pouvant être conscients d’une menace et des conséquences possibles, mais n’engagent pas les mesures de sécurité SI, considérant qu’ils n’y sont pas exposés. Ainsi, les conséquences de risque vécues ne semblent pas renforcer l’exposition perçue au risque, ce qui n’est pas constaté dans le champ de la psychologie du risque. En ce sens, les menaces internes ne sont que peu prises en compte, les dirigeants mettent l’emphase sur les menaces externes, même si les conséquences internes ont déjà été vécues, renforçant alors le propos précédent.

Les apports managériaux mettent en perspective les besoins des dirigeants de disposer d’une vision holistique des risques et des réponses adéquates. Une communication spécifique et ciblée à l’endroit des décideurs de TPE/PME, par secteur d’activité, permettrait de développer leurs connaissances sur l’exposition au risque et sur la mise en œuvre de solutions techniques, et ainsi procéder à une décision objectivée quant à la couverture du risque.

Billet rédigé par Benoît Fantino

Sarapis, méthodologie de gestion de la sécurité de l’information & de pilotage des risques métier.

Introduction

Les médias se font l’écho des événements relatifs au vol ou à la divulgation de données confidentielles voire stratégiques. L’actualité donne une grande résonance aux préjudices que subissent les entreprises et les états, dès lors que leurs patrimoines informationnels ou leurs processus vitaux sont la cible de concurrents déloyaux ou de hackers, via le cyberespace.

Les organisations, les personnes s’approprient des moyens numériques de plus en plus puissants et efficaces. Les moyens de communication interconnectés dans un cyberespace global changent les usages et accélèrent les transformations sociétales. De nouvelles menaces massives ou ciblées portent atteinte à la confidentialité des données personnelles et aux intérêts des entreprises via leurs systèmes d’information.

De nouveaux enjeux de protection du patrimoine informationnel et de la vie privée s’imposent aux entreprises et aux personnes.

Les données sont le nouvel or noir de l’économie numérique et la sécurité des systèmes d’information une part essentielle de la gouvernance d’entreprise, son coût intègre désormais un poste comptable et assurable. La maîtrise du risque numérique devient un métier incontournable pour toute entreprise quelle que soit sa taille, au même titre que les ressources humaines, tant la menace qui pèse sur les industriels, opérateurs de services essentiels en tête, devient un élément susceptible d’affecter le capital de l’entreprise, son patrimoine, ses données clients et ses sous-traitants. La non maîtrise des risques numériques affecte directement la chaîne de la valeur de toute entreprise et à son écosystème. Autrement dit chaque entreprise est un maillon essentiel de la chaîne de sécurité de son écosystème.

Quels risques doivent être gérés en interne ?
Le risque matériel ou technologique: perte/vol de données, espionnage, chantage, retournement de personnel, perte de client ou de marché, vol de brevet ou d’idée en cours d’expérimentation, déni de service interne ou à l’égard de clients, etc. Le risque juridique : perte de la valeur du capital, atteinte à l’image, atteinte aux données des clients et prospects, responsabilité contractuelle, délictuelle ou pénale au titre du droit national ou européen.

La sécurité de l’information est au cœur des enjeux des états, des organisations et des citoyens face à des attaques protéiformes dans un contexte de criminalité et de tensions internationales accrus.

Devant l’accroissement des menaces et leur durabilité, l’Europe s’est doté d’une réglementation originale centrée sur l’efficience de la sécurité numérique : efficacité technologique et efficacité juridique. Autrement dit, un standard de sécurité opposable aux Etats et aux industriels ciblés par celle-ci en vue de la protection des droits fondamentaux des personnes physiques sur leurs données et leur vie privée doit être mis en place à grand train. Par ailleurs, reconnaissant la place particulière des opérateurs de services essentiels c’est sur ceux-ci que pèse la mise en œuvre de la sécurité numérique et la protection de l’information dans toutes ses dimensions. En particulier la protection du patrimoine informationnel de la nation, les informations stratégiques ou confidentielles, le secret des affaires, comme la protection des données personnelles, peuvent entraîner la responsabilité des dirigeants au titre de ces diverses réglementations.

L’interaction des risques opère des effets démultiplicateurs en termes d’impacts sur les plans géopolitique, économique et sociétal. Chaque risque peut interagir dans une relation de causalité circulaire avec un effet final dévastateur, une procédure juridique peut nuire à l’image de marque d’une entreprise et entraîner des pertes de parts de marché engendrant des pertes financières avec pour risque social des licenciements.

Un positionnement de la sécurité basé sur une vision linéaire de son évolution technique n’est plus adapté aux enjeux actuels. La mutation lexicale de la sécurité a suivi la chronologie des évolutions technologiques en troublant le champ sémantique. Ainsi la sécurité informatique des années 70 est devenue la sécurité des systèmes d’information dans les années 80, puis la sécurité de l’information dans les années 2000 et aujourd’hui la sécurité numérique se globalise en « cybersécurité » à l’heure de la généralisation du big data et de l’économie de la donnée.

Alors, le mot sécurité recouvre-t-il le même sens pour le spécialiste, l’utilisateur, le manager, ou le dirigeant ?

Les différents acteurs de l’organisation se positionnent dans le champ de la sécurité avec une posture qui relève de leur culture professionnelle acquise par la pratique de leur métier ou de leurs responsabilités. Leur posture d’expert dans leur métier, y compris dans la sécurité, les enferment dans leur domaine. Les différents aspects de la sécurité sont ainsi atomisés et vus comme à travers un kaléidoscope sans que personne ne soit en position de dresser une vue globale de la problématique et permettre de reconstituer le puzzle.

Il faut bien constater que les visions, stratégique, opérationnelle et technique concernant la sécurité dans les organisations, ne couvrent pas le même champ.

Chacun de nous, utilisateurs, dirigeants ou experts, a des besoins et une compréhension différente et partielle du problème posé par la gestion des risques. On note avec intérêt le fait que la sécurité pour la chaîne de production est à l’origine un élément essentiel de la qualité, elle est devenue aujourd’hui synonyme de confiance dans le service, voire en l’Etat.

Lorsque les spécialistes identifient des menaces, les managers évoquent des vulnérabilités et les dirigeants évaluent des risques économiques, juridiques … Ces différentes approches sont pertinentes et elles sont complémentaires. Il faut les faire converger et les coordonner, c’est ce qui sous-tend la maîtrise des risques à travers une politique de sécurité de l’information.

Il nous manque donc une vision globale au niveau corporate et un langage commun, partagés. Cette problématique complexe commande de changer de point de vue pour se parer efficacement.

La sécurité ne peut être considérée comme un sujet exclusivement technologique, mais comme une problématique faisant interagir aussi des composantes politique, humaine, organisationnelle et managériale. 

Les organisations doivent considérer la sécurité de l’information comme un élément clé de leur nécessaire transformation numérique et l’intégrer dans le champ de leur gouvernance, afin de garantir leurs intérêts et de progresser de façon efficace et durable.

Or, dans une approche globale du sujet, toutes les méthodes d’analyse et de gestion des risques sont-elles prégnantes ?

Devant une problématique devenue complexe il convient d’admettre que la sécurité numérique n’est plus l’affaire des seuls spécialistes, mais l’affaire de chacun dans l’accomplissement de sa fonction dans l’entreprise.
La gestion des risques doit passer par la mise en synergie de l’ensemble des compétences au sein des organisations, dans une vision partagée.

Changer de paradigme implique de développer une méthodologie de pilotage de la sécurité de l’information et donc des données, disruptive.

En effet, pour être pragmatique et efficiente, elle doit être :

–   simple à mettre en œuvre pour être accessible par l’ensemble des acteurs de l’organisation, en   dépassant les clivages spécialistes / non spécialistes, elle est donc respectueuse des usages métiers,

–   rapide pour limiter l’exposition aux risques et éviter l’effet tunnel,
–   proactive pour réduire la l’imprévisibilité des menaces liés aux retards dans la prise de décision,
–   communicante pour établir un vecteur de gouvernance entre stratégie et sécurité de l’information,
–   outillée par une plateforme numérique, pour :

o   faciliter l’application de la méthode et diminuer les coûts de mise en œuvre par un gain de temps et la limitation des ressources humaines à engager,
o   mettre en place un outil de communication entre toutes les parties prenantes du système de management de la sécurité de l’information adapté à l’organisation de l’entreprise.

L’approche dans sa dimension économique vise la rationalisation du coût de la mise à niveau de la sécurité, c’est pourquoi elle doit être centrée sur :

–   les services essentiels des métiers de l’entreprise pour optimiser l’utilisation des ressources,
–   la dangerosité des menaces pour prioriser les mesures de protection,
–   la réalité des risques pour éviter les scénarios improbables, –   un juste niveau de protection grâce à un scénario de risque métier qui donne une vue synoptique de ses composantes : gravité, menaces/vulnérabilités, ressources spécifiques.