La sécurité fait régulièrement parler d’elle dans la presse et nous avons tous en tête des cyber-attaques ayant permis des fraudes massives. Pour autant, restreindre la cybersécurité à un seul problème d’infrastructure TI est un raccourci qu’il faut s’efforcer de faire si l’on veut s’attaquer à la racine du mal. Certaines sociétés ont connu des failles d’une telle ampleur qu’elles ont entraîné la démission de leur PDG. Évènement qui se reproduira tant que les dirigeants n’auront pas démontré leur implication « sécurité » et leur bonne volonté à protéger non seulement leurs données, mais surtout celles de leurs clients.
Nous présentons ici les 7 points essentiels à la mise en place d’une démarche de sécurité pérenne au sein d’un grand groupe.
1. Au commencement, le conseil d’administration doit démontrer sa volonté de gérer les risques qui pourraient nuire à la bonne marche de l’entreprise, à sa réputation, à sa santé financière, à la sécurité de ses employés, à sa conformité réglementaire. À cet effet, le CA doit nommer un Vice-Président Gestion des Risques d’Entreprise et c’est sous la tutelle de ce VP exécutif que devrait tomber la sécurité des systèmes d’information.
NDLR : Le rattachement hiérarchique de la fonction sécurité démontre l’intérêt de la Direction Générale à gérer les risques de l’information numérique. Moins ce rattachement est élevé, moins la direction se préoccupe de cyber-sécurité.
2. Le VP Sécurité (ou Responsable de la Sécurité des Systèmes d’Information, en anglais « CISO ») doit s’assurer que les risques de sécurité sont identifiés, évalués et contrôlés. Il doit porter la politique de sécurité des systèmes d’information dans le but de protéger le patrimoine de l’entreprise et les données de ses clients au regard des risques de sinistres, accidents, négligences ou malveillances qui porteraient atteinte au fonctionnement normal des opérations.
NDLR : On comprend ici que l’on dépasse très largement la cadre des seules infrastructures informatiques et que l’on s’adresse aussi aux conséquences d’affaires. Idéalement, le VP Sécurité devrait davantage dépendre de la Vice-Présidence Gestion des Risques que de la Vice-Présidence Informatique. Cela lui éviterait d’une part, d’être en conflits d’intérêt et d’autre part, de pouvoir atteindre plus facilement les Vice-Présidences d’Affaires, en tant que protecteur des informations et non-protecteur de l’informatique (opposition contenant/contenu). Cela permet également de lui donner une position de tiers indépendant entre la maîtrise d’œuvre (la Vice-Présidence Informatique) et la maîtrise d’ouvrage (les VP d’Affaires).
Le CISO ne peut être un administrateur réseau : cela limiterait les risques à leurs vulnérabilités d’infrastructures, faisant fi des risques juridiques, réglementaires, opérationnels, de conformité, humains, d’affaires, de sécurité physique, aux risques liés à la conception des applications et aux fournisseurs. Le problème est bien plus vaste. En revanche, le CISO peut disposer d’un correspondant de sécurité aux Opérations, comme il devra en avoir au Développement et dans les Vice-Présidences d’Affaires. Il doit dépendre du Risque d’Entreprise, afin de travailler dans un cadre commun de gestion des risques et éviter la multiplication d’outils et de référentiels différents avec ses collèges de la Conformité Opérationnels ou avec les vérificateurs.
3. L’entreprise doit mettre en place un cadre intégré de gestion des risques et définir son appétit aux risques, c’est-à-dire son seuil de tolérance, propre à chacun. Dans ce cadre, elle devra définir une méthode d’analyse des risques qui soit reproductible d’une année sur l’autre, ainsi que ses critères de risques, ses menaces et ses impacts dans un langage d’affaires compréhensible et applicable par tous.
NDLR : Le cadre de gestion des risques devra couvrir les risques organisationnels, réglementaires et financiers ainsi que les risques d’infrastructure, d’applications, de données. Il devra s’attaquer à recenser les risques de fraudes, d’accidents et d’erreurs qui porteraient atteinte à la disponibilité, à l’intégrité ou à la confidentialité des informations, qu’elles soient personnelles, financières ou autres. Il devra être conforme aux normes ISO 27001-27002 et 22 301 ainsi qu’aux réglementations sectorielles (Bâle, Solvabilité, NERC, WLA, PCI, etc.).
4. En parallèle au cadre de gestion des risques, on devra mettre en place un cadre de gouvernance des données et nommer le cas échéant, un Vice-Président en charge de la gouvernance des données (Chief Data Officer). Son rôle sera d’inventorier les méta-données de l’entreprise, d’identifier leur propriétaire, leurs règles de gestion et besoins de sécurité pour ensuite veiller à ce que la protection de ces données soit assurée.
5. Le déploiement du cadre de gestion des risques doit se faire en intégrant la sécurité en amont des projets d’affaires, dés la phase d’expression des besoins. La méthode d’analyse des risques doit ensuite intégrer la sécurité tout au long du cycle de vie du projet. C’est d’autant plus vrai pour les technologies dites « disruptives ». Pas de projet dans le cloud ou de média sociaux, sans que la sécurité soit « sérieusement » traitée. Imagineriez vous la conception d’un avion sans que la sécurité soit intégrée dés le départ ? Ou la construction d’un pont sans que la solidité soit prise en compte dès le début ? Alors pourquoi en serait-il différent des projets applicatifs ? En parallèle, les opérations peuvent mettre en place leur programme de défense du périmètre de sécurité et de gestion des accès, pour ne citer qu’eux. Il y a bien d’autres programmes à mettre en place.
6. Le déploiement ne sera effectif que s’il y a sensibilisation et formation adéquate du personnel. C’est un point important. Les consommateurs sont devenus plus avertis en matière d’utilisation des outils informatiques et mobiles. Il faut adapter les modes de communication à cet effet.
7. Enfin, après annonce et mise en place de l’organisation et du cadre de gestion des risques, on contrôlera sa mise en œuvre par un système d’indicateurs clés et de reporting adéquats afin de rapporter régulièrement sur les progrès effectués. On pourra intégrer dans les indicateurs, les failles qui auront été remédiées, ainsi que le nombre d’analyses de risques effectuées ou le pourcentage de projets ayant suivi la démarche sécurité.
Ces 7 points sont des préalables essentiels pour mettre en œuvre une démarche pérenne de sécurité dans l’entreprise. Ils ne sont pas suffisants dans la mesure où le risque zéro n’existe pas, mais ce qui est certain, c’est que si un seul de ces points n’est pas mis en œuvre convenablement, l’entreprise part déjà avec un handicap sévère. Pour conclure, on notera que le coût de mise en œuvre de ces sept points n’est pas élevé au regard des risques qu’il permet de diminuer et des coûts de maintenance et de remédiation de failles qui ne sont pas convenablement identifiées et corrigées.