Une vision partagée… sur alignement, stratégie opérationnelle, et management opérant

Lorsque l’on parle de sécurité, on embrasse une vision qui mène à un nouveau paradigme :  La sécurité de l’information nécessite d’être observée avec une approche transdisciplinaire qui fasse interagir toutes les composantes de l’organisation.  

Dans cette série d’articles sur la vision partagée, nous vous dévoilons quelques extraits de la publication de Jean-Yves Oberlé en téléchargement ici : https://sarapis.fr/#download-book

Une vision partagée… sur alignement et stratégie opérationnelle

La sécurité de l’information doit être considérée à partir de la stratégie de l’organisation. 
Elle sera modélisée selon la finalité visée : permettre à l’organisation d’ajuster les prises de risque pour atteindre ses objectifs métier tout en respectant les intérêts des parties prenantes. 

L’alignement du processus sécurité intègre alors : 

• Les objectifs de l’organisation en regard de sa vocation et de ses valeurs, 
• La conformité aux lois et règlementations, 
• La maitrise des risques opérationnels, 
• La performance et la création de valeur portées par des processus fiables, robustes et pérennes. 

Une vision partagée… sur le management opérant 

Le management mis en place doit permettre à l’organisation de mobiliser les ressources disponibles et de déployer les moyens engagés selon la politique de sécurité définie. Le mode de management consiste à déléguer :

• La gestion des risques aux managers métier,
• Les opérations sécurité aux responsables fonctionnels et ingénieurs,
• Le contrôle aux fonctions du contrôle et de l’audit interne,
• Le pilotage aux instances de gouvernance.

Il convient alors :

• De faire interagir les composantes du système modélisé (humaines, organisationnelles, fonctionnelles, techniques …), 
• D’inclure dans le périmètre du système, poreux par construction, le contexte économique, légal, réglementaire, technologique, social … 
• De réguler les résultats par une boucle d’interaction. 

C’est cette boucle d’interaction qui, dans une approche systémique, établit le pilotage sur la base de l’articulation des objectifs métiers et des indicateurs de sécurité opérationnelle.