L’approche Risques | The Centauri Step, gouvernance et Sécurité informatique
L’approche Risques
Marion Mellor
L’approche « Risques », KÉSAKO ? Comment passer d’un pur objectif de conformité à une volonté de mieux mitiger vos risques ?
Mais pourquoi oppose-t-on aujourd’hui l’approche « Conformité » à l’approche « Risques » ?
1. Des cases tu cocheras… (ou pas)
L’approche « Conformité », ou « Processus », permet de déployer les bases d’un SMSI, mais ne permet pas toujours de répondre à tous les besoins des métiers, ni à l’urgence de l’évolution des processus.
En effet, un processus ne permet pas d’apporter l’innovation nécessaire dans le cadre de la réponse sécuritaire d’aide aux entreprises.
Les menaces évoluent avec le temps. Une cyber-attaque peut se produire et se déployer en quelques minutes… mais peut mettre plusieurs mois avant d’être découverte.
C’est un défi majeur. ⚠️
Comment répondre à l’urgence sans ressembler au lapin d’Alice au Pays des Merveilles, qui court partout sans arriver nulle part ? Comment faire avancer la sécurité de l’entreprise de manière proactive ?
Les décisions de Sécurité sont prises à l’instant 0 (zéro) entre la Direction et la DSI, deux populations parlant parfois des langues différentes sans dictionnaire. Il faut aussi du temps avant que ces décisions se traduisent en procédures pour contrer les menaces liées à la Sécurité, mais aucune documentation ne peut être modifiée en permanence. Il peut donc se passer plusieurs mois entre la décision, l’écriture des mesures, et la mise en œuvre des mesures !
Attention ⚠️ le niveau de conformité se trouve entre la réalité des menaces et les décisions de Sécurité. Le décalage, permanent, peut tendre à s’accroître au fur et à mesure que les menaces grandissent.
Être certifié ISO 27001, c’est être capable de produire de la documentation. Mais « cocher des cases » de conformité sur un tableau Excel suffit-il pour être vraiment protégé ? Comment faire en sorte que les décisions et les mesures soient prises en même temps ?
L’agilité est la capacité à créer de la valeur tout en s’adaptant aux changements d’environnement… La conformité à la norme ISO 27001 est-elle une fin ou un moyen ?
2. Tes risques tu mitigeras…
L’approche « Risques » permet de prendre du recul sur les processus, et de décider si telle ou telle procédure apporte une valeur pour l’entreprise et pour sa sécurité. Et c’est le véritable rôle du RSSI (responsable de la sécurité des systèmes d’information). Plutôt que de suivre les chapitres de la norme en ayant pour ligne de mire la « conformité », il est conseillé de nos jours de mettre en œuvre des mesures distribuées adaptées selon les grands risques encourus par l’entreprise.
« On ne met pas des freins aux voitures pour qu’elles puissent aller moins vite, mais justement pour qu’elles puissent aller plus vite. » Selon la même logique, les procédures Sécurité doivent faire partie intégrante des activités de l’entreprise.
Aucune contrainte supplémentaire sans profit immédiat ne sera appliquée. Il faut que les efforts soient minimes et que les bénéfices apparaissent de façon évidente.
Quatre étapes majeures d’une analyse efficace :
1. D’abord prendre en compte le contexte.
2. Définir les critères d’appréciation des risques.
3. Accepter les risques (formellement, en Comité de Direction) et communiquer autour des analyses,
4. Revoir régulièrement les risques résiduels.
Il faut revoir constamment la pertinence des contrôles au regard des grands risques qui menacent l’entreprise / au regard des risques que portent les projets / au regard de l’évolution de l’environnement.
C’est un immense changement de culture pour certains auditeurs qui regardent consciencieusement si l’organisation « coche » toutes les cases – mais les premières étapes d’analyse des risques peuvent justifier d’un périmètre plus restreint, plus adapté aux activités et aux besoins.
3. La vie de ton entreprise tu simplifieras…
Ce que l’on appelle l’approche « Risques » est un renforcement de l’approche « Plan Do Check Act » (dit PDCA) par la prise en compte des risques et des opportunités. Le soutien d’une Direction qui comprenne les enjeux est sur ce point capital.
Plusieurs moyens d’introduire davantage d’agilité dans mesures Sécurité :
Définir des grands principes de Sécurité avec la Direction (maximum 2 pages, en langage simple et engageant), qui laisse ensuite le champ libre pour la mise en œuvre de mesures de Sécurité sans être contrainte par les procédures.
En tirer un ensemble de directives qui s’appliquent pour chaque métier ou chaque activité.
Des standards plus précis qui peuvent se décliner en procédures dédiées (sur un ERP transversal à l’entreprise par exemple).
Ma recommandation
Le format le plus pratique : Excel principalement, et quelques documents Word
(mais le moins possible pour la vie des documents au quotidien !).