Dans bon nombre d’Organisations, les responsables des risques de sécurité des SI (et par extension des risques SI) sont confrontés à des demandes émanant de plusieurs sources et à des besoins qui peuvent paraitre inconciliables et sont souvent abordés de manière unitaire :
Établir et maintenir une cartographie des risques, comme étant le socle de l’approche par les risques, mais aussi comme étant un référentiel de gestion des risques compréhensible et intégrable à l’échelle de l’entreprise (avec le référentiel des risques opérationnels dans le domaine financier typiquement),
Mettre en œuvre les plans d’actions et mesures de sécurité, que cela ait pour origine par exemple des audits, des actions de mise en conformité, des projets de sécurité des SI ou des projets à l’échelle de l’entreprise,
Déployer un dispositif de contrôle permanent, répondant aux référentiels de risque ou de qualité de l’entreprise et permettant de fournir une mesure cyclique de la performance et du niveau de couverture de risques des processus de contrôle.
Mais, ces différentes pièces du puzzle sont parfaitement agençables, tout est affaire de perspective ! Voici dans la suite une vision qui permet de mettre cela en musique.
L’approche par les risques
L’approche par les risques est modélisée dans plusieurs référentiels et normes, parmi lesquels nous pouvons citer ISO 27005 et EBIOS. Globalement, le principe de cette approche est de définir le contexte dans lequel évolue l’Organisation, afin d’identifier et évaluer ses risques. Une fois le risque évalué, les mesures de traitement sont proposées, pour ramener les risques à un niveau acceptable et/ou en accepter les conséquences potentielles. Enfin, ces risques sont surveillés, pilotés et reportés, le cas échéant, aux instances exécutives. Cette démarche est réalisée de manière incrémentale et itérative, pour constituer un des fondements de la Gouvernance des risques et de la sécurité des SI.
Donner du liant
Le cadre de gestion des risques donne les premières clés pour définir les plans d’actions et projets SSI et mettre en place des contrôles pertinents et efficaces sur les processus de sécurité des SI :
Un projet/ plan d’action de sécurité des SI est pertinent (dans le sens sécuriste du terme) s’il peut être relié à – au moins – un risque de sécurité des SI, cartographié et mesuré,
Un contrôle de sécurité ne peut être mis en place que si le processus le sous-tendant est défini et fonctionnel. Ce contrôle est transverse et doit prendre en compte les actions de traitement du risque et son processus d’acceptation.
A ces principes s’ajoute la dimension temporelle :
Un projet est par définition fini dans le temps (dans la théorie tout du moins). Cela implique que lorsque nous décidons de traiter un risque en mode projet (Build), le risque n’est réduit que lorsque le projet est livré (mise en production/ procédure finalisée et appliquée/ etc.)
Un contrôle est par définition cyclique. Il intervient en mode RUN, c’est-à-dire une fois un projet livré ou un processus mis en place. La performance du contrôle est mesurée par les indicateurs de la Sécurité des SI.
Avec ces principes, la liaison tripartite apparait donc entre le risque, le plan d’action et le contrôle. Voyons cela à travers un exemple simple :
J’identifie et évalue un risque de sécurité des SI
Risque d’attaque virale
Ce risque peut être traité par un projet :
Déploiement d’un antivirus sur tous les postes de travail
Dans ce cas, tout au long du projet de déploiement (disons qu’il se fait en mode big-bang), mon risque existe toujours, et au même niveau.
Une fois mon antivirus déployé, mon risque est réduit.
Mais, je dois m’assurer en mode Run que le flux de postes de travail est toujours protégé. Dans ce cas je mets en place un contrôle cyclique :
Contrôle sur l’exhaustivité de la couverture antivirale sur les postes de travail
Par contre dans ce cas, ma réduction du risque est proportionnelle à la performance de mon contrôle :
Une couverture de 98% du parc peut être jugée satisfaisante, par contre une couverture à 80% peut entrainer le déclenchement de plans d’amélioration du processus.
Bien évidemment, un risque peut être réduit uniquement en mode projet ou uniquement via la mise en place d’un contrôle. Cette vision peut être synthétisée ainsi :
Vers une gouvernance de la sécurité des SI
Dans le modèle que nous proposons, un projet / un contrôle peut être relié à un ou plusieurs risques SSI. Inverser la vision, revient à mesurer la contribution d’un projet ou d’un contrôle à la réduction des risques SSI.
Pour alimenter la gouvernance de la Sécurité des SI, il nous « suffit » alors de relier les notions de contribution à la réduction des risques et celle du coût d’un projet ou d’un contrôle. Nous en ressortons une dernière dimension, plus parlante pour la gouvernance, celle de l’efficacité.
L’efficacité d’un projet de sécurité serait alors le ratio de sa contribution à la réduction du risque sur le coût du projet. Cette vision peut s’avérer être d’une efficacité redoutable lorsqu’il s’agit de justifier les demandes de budget ou lors du pilotage des projets.
Nous voyons donc émerger des notions que le Responsable de Sécurité des SI utilise dans le pilotage de son activité, notamment :
Le plan projet et les budgets SSI,
Les indicateurs et tableau de bord SSI.
…Et que nous détaillerons dans un autre article. En attendant, Actinuance Consulting accompagne ses clients pour la mise en place et l’outillage de cette approche, au sein des Directions des Risques, des Directions de la Sécurité des SI ou des DSI.
Si cette approche vous intéresse, n’hésitez pas à nous contacter pour de plus amples détails.
Estelle