Comme nous l’avons vu précédemment, les systèmes de pilotage sont souvent les parents pauvres des processus de gestion de la sécurité. C’est pourtant grâce au contrôle et au pilotage que l’on est capable d’atteindre les objectifs définis et d’ajuster les moyens déployés pour y parvenir.
Comme pour la conduite d’une voiture, le pilotage de la sécurité de l’information s’appuie sur un tableau de bord ; contrôles et ajustements sont possibles par l’observation des indicateurs.
Considérons les actions à mettre en place pour construire un système de pilotage de la sécurité.
La finalité d’un pilotage efficace consiste à atteindre des objectifs métier tout en maitrisant les risques liés aux activités de l’organisation.
Il s’agit d’assurer la fiabilité des systèmes opérants (production) dans le cadre de référentiels normatifs. La sécurité de l’information est le point focal de nombreuses lois, réglementations, normes. L’obligation de conformité impose alors de considérer le contrôle et le pilotage de la sécurité de l’information dans le cadre du processus de gouvernance de l’organisation.
La réactivité nécessaire à la prise de décision n’est alors possible que par l’usage d’une plateforme numérique qui associe objectifs métier et mesures de sécurité.
Le logiciel expert Small1© développé sur la base de la méthode SARAPIS® permet de mettre en place un processus de gestion des risques et de pilotage de la sécurité de l’information sur la base de scénarios de risques métier.
Le pilotage de la sécurité fait partie du processus global de gestion des risques et c’est bien en ce point qu’il est indispensable. Le contrôle et le pilotage de la sécurité de l’information ont une dimension « opérationnelle » avérée et il convient donc de les intégrer dans le champ de la sécurité.
Il convient de distinguer trois points clefs pour opérer un pilotage efficace :
- Contrôler la conformité des actions menées aux politiques et aux plans de traitement définis.
- Vérifier la performance des dispositifs mis en œuvre en regard des besoins métiers exprimés.
- Ré-adapter les dispositifs mis en place dans les cas contraires aux résultats attendus,
Une plateforme numérique telle que Small1© doit générer automatiquement tous les éléments de gestion, de suivi et de reporting, tels que :
Une matrice de hiérarchisation des risques :
Ce type de matrice / cartographie des risques permet de définir une stratégie de traitement. Plus que la précision de l’évaluation, c’est la relative criticité des risques qui prévaut dans cet outil d’aide à la décision. Pour exemple : la cartographie ci-dessous permet de conclure que les risques 5, 1 et 6 sont à traiter en priorité par rapport aux autres qui peuvent l’être dans un second temps dès lors que les budgets seraient contraints.
La stratégie de traitement des risques consiste à prendre une décision selon 4 axes :
- Réduction (mise en œuvre de mesures adaptées)
- Transfert (assurances, prestaires/fournisseurs)
- Acceptation (en pleine connaissance du risque résiduel)
- Refus (du service/produit à mettre en œuvre)
Les scénarios de risque Métier
L’objectif du scénario est de piloter la sécurité par les risques métier.
Le niveau de sécurité global :
L’objectif de cette mesure consiste à disposer d’une vue sur le niveau de sécurité de chacun des domaines de l’ISO27002 (Code de bonne pratique pour le management de la sécurité de l’information).
Les critères de sécurité : Disponibilité, Intégrité, Confidentialité, Traçabilité, Gouvernance :
Les indicateurs spécifiques DICTG ont pour vocation de mesurer le niveau globalde sécurité de l’organisation dans le champ de l’ISO27002.
C’est sur la base de ces types d’indicateurs que le contrôle et le pilotage de la sécurité de l’information peuvent s’exercer dans le cadre du processus de gouvernance de l’organisation.