L’agence tout risque des SI:
Le Système de Management de la sécurité de l’information (SMSI)
OBJECTIVES:
Dans l’univers du SI, il est important de rationaliser non seulement les solutions et stratégies de protection des systèmes d’information, mais aussi d’en assurer la qualité.
Certains experts qualifient la sécurité comme un axe de qualité du SI à part entière. Cette logique peut s’expliquer par le fait que les RSSI s’inspirent souvent des normes ISO (ex: 27000) afin de planifier et structurer leurs tâches tout en suivant les bonnes pratiques déjà présentes dans d’autre environnements.
Ces deux axes de priorités peu souvent jumelés sont pourtant les deux faces d’une même pièce dans le dédale d’un SI.
ORIGINS & GENESIS:
Il devient de plus en plus clair que les ingénieurs informatiques, de par leur formation, sont enclins à résoudre les problèmes rencontrés dans leurs systèmes d’information d’une façon optimale et rapide, mais trop souvent sans aucune réflexion sur les socles de qualités requis. Ceci ressemble de loin à la différence entre un étudiant en école d’ingénieur et ses homologues statisticiens. Ce dernier abordera plus souvent le nettoyage des données d’entrée, la vérification (la preuve et marge d’erreur, sigma et delta) des résultats obtenus, alors que l’ingénieur cherchera à optimiser sa boite noire (formule et fonction d’opération).
Cette instance rappelle aussi le bon vieux temps des codes spaghetti des débuts de la programmation informatique pendant lesquelles le concept de déboguer un code, le documenter, déclarer les variables avant usage et d’autres pratiques (inconnues à la génération Gen XY dues à la sophistication des IDE et autres Framework de développement), étaient pendant les années 90 et 2000 la norme de bienveillance.
IF YOU FAIL TO PLAN, YOU PLAN TO FAIL:
Certains s’interrogent encore sur les raisons d’un tel acharnement sur la qualité alors que l’on pourrait simplement “get on with it” une fois qu’un outil a été trouvé pour résoudre un problème criant. Il faut simplement rappeler les enjeux et risques auxquels nous nous exposons si nous permettons à la technique et non la gouvernance de mener la danse. Les décisions d’évolutions numériques sont des réflexions transversales qui concernent tous les corps de métier d’une entreprise ou d’un établissement de santé et pas seulement la DSI (SI, RSSI, etc.). Il faut tenir compte aussi de l’aspect économique mandaté par la DAF, ainsi que les autres directions (générales, métier, qualité, logistique, etc.). Tous doivent agir de concert avec ces évolutions afin de servir la communauté de l’entreprise dans sa totalité et créer une objectivité de décision.
Je rappelle simplement certaines des normes ISO qui sauront illustrer mes propos avec des termes plus concrets:
- ISO 27002 -> mesures techniques du SI
- ISO 27005 -> norme de respect des méthodes d’analyse du risque (EDIOS, MEHARI, etc..)
- ISO 27004 -> norme des indicateurs de sécurité pour le pilotage
- ISO 27008 -> normes d’audit
- ISO 27001 -> norme de l’ensemble des paramètres du pilotage
- ISO 27006 / 27007 -> l’audit (externe) des audits (internes)
NOW WHAT? (ROADMAP):
Une fois ces considérations établies, les responsables du SI peuvent définir leur mission, cadrer leurs projets, établir des règles de gouvernance, définir la composition et le contenu des livrables, mettre en calendrier des tâches (diagramme de GANT ou autre), et autres.
Les prochaines phases seront :
1- le déroulement du projet (état des lieux de l’existant, recueil des besoins métiers, inventaire des ressources internes)
2- l’animation de réunions pour le cadrage, le pointage, et l’alignement avec les autres directions (DRH, DAF, etc..)
3- la comptabilisation des charges de travail (moyens humains, externalisation, conseils, etc.)
4- l’évaluation du risque
5- l’optimisation des mesures de sécurité existantes (selon l’ISO 27000)
6- le plan de déploiement sécurisé, (ISO 27002)
7- le pilotage à haut vol (management) du chantier (Roues de Deming et processus critiques)
N.B allocations de “petites roues” par processus critiques pour les SMSI locaux.
8- la gouvernance ou le relai exécutif du projet (schéma directeur, instance opérationnelle, tactique et stratégique)
Le déploiement du projet nécessite de la documentation et sa traçabilité .
LESSONS TO LEARN:
En conclusion, l’expérience démontre que les meilleurs projets, avec un bon taux de réussite, sont les projets minimalistes à calendrier court, et objectifs précis. Malgré certaines réticences, il est nécessaire d’appliquer des politiques d’austérité, technologiques et documentaires (car tous les ingénieurs connaissent le RTF), avec obligation de chercher l’amélioration en continu (optimisation de l’outillage, montée en compétence des équipes, visibilité de la direction, tester les “fire drills” du PRA/PCA) afin d’atteindre les cibles d’’usage à travers une évolution numérique et une meilleure gestion de le sécurité de l’information (SMSI).
Nos aventuriers de «l’Agence tout Risque» des années 80 n’avaient pas les moyens numériques de nous faire partager les secrets de leur réussite, mais je continue de penser qu’ils auraient été d’accord sur cette façon de planifier une mission très critique.
Call to Action:
Pour une étude et un échange plus approfondis sur ces sujets, rejoignez moi sur la toile.
Mr Sosthène Grosset-Janin
Conseiller Indépendant en stratégie numérique
Rejoignez-moi sur SIH Solutions pour les “Lundis de la sécurité numérique”!
www.sih-solutions.fr
sgrosset@gmail.com
https://www.linkedin.com/in/sgrosset
[…] […]