La démarche processus en Sécurité des SI

Recommander Imprimer

La démarche processus en Sécurité des SI

Créé par
Philippe Guarnieri
Contact
Contacter l'auteur
Articles de fond Quelle organisation pour quelle sécurité 6 / 6 Contrôle interne et SSI

Le constat : Les affaires de fuites d'information se suivent et se ressemblent, le niveau de sécurité stagne ou recule.

Les causes : Une absence de stratégie sur la sécurité de l'information; des métiers et des responsables du SI qui ne parlent pas le même langage, les uns en termes de retour sur investissement et chiffre d'affaire, les autres en terme de solutions techniques.

La solution : Prendre le problème à la racine par l'étude des processus sensibles de l'entreprise; en déduire la stratégie autour de la valeur de l'information et les plans d'action, qu'ils soient de nature organisationnels, managérial ou techniques.

Le résultat : Une politique de sécurisation de l'information liée à la valeur métier et donc, une communication naturelle avec les directions et les utilisateurs; un gage de pérennité à chaque changement de structure, un investissement à long terme.

L'objectif du management par les processus est de décomposer l'activité en processus et de les mettre sous contrôle afin de les faire concorder avec les objectifs stratégiques de l'entreprise.

Concernant la notion de processus il serait bon de revenir à la source, à la définition de ce qu'est un processus : Je vous renvoie au document officiel FD X 50-176 publié par l'AFNOR
Objectif des processus : L’organisme qui déploie une approche processus a pour finalité de :
— mieux répondre aux besoins et attentes des clients et des autres parties intéressées, en les plaçant au coeur
du fonctionnement de l’organisme ;
— déployer la politique et les objectifs généraux de façon structurée à tous les niveaux de l’organisme ;
— optimiser l’obtention de résultats par une meilleure implication et coordination de tous les acteurs.
L’approche processus permet des gains significatifs en terme de performances des produits, de délais,
et de coûts parce qu'elle est fondée sur :
— la priorité donnée à la valeur ajoutée ;
— la détection, la correction et la prévention des dysfonctionnements ;
— l'utilisation optimale des ressources.
L’approche processus vise enfin une dynamique d’amélioration permanente :
— les améliorations résultant des changements sont mesurables et mesurées ;
— la maîtrise des interfaces est améliorée par une meilleure :
- compréhension et prise en compte des besoins et contraintes de chacun ;
- communication entre entités (unités, départements, services, …) d’un même site ou entre différents sites
appartenant à un même organisme ;
- définition des circuits d’informations et de prises de décisions ;
— la progression des performances des processus peut être mesurée.

Définition d'un processus : Une activité ou un ensemble d'activités qui
utilise des ressources pour convertir des éléments d'entrée en éléments de sortie
possédant une valeur ajoutée.

Donc analyser un processus suppose bien être au coeur de l'activité, la décortiquer, c'est une base saine, si ce n'est indispensable, pour être capable d'en déduire les risques ...
De toute façon, on voit bien, quand on analyse les méthodes dites nouvelles de type 27000 à quel point elles ont été inspirées par la démarche qualité .... on n'a rien inventé.

J'ai été amené à pratiquer la construction et l'analyse de processus dans le cadre de petites où très petits entreprises parfois de 5 personnes; il y a, ici, dans la région grenobloise (ça doit être le cas de sud-ouest avec toutes les industries aéronautiques), de très petites entités qui conçoivent des produits ou des logiciels à très haute valeur ajoutée et qui n'ont qu'une idée très lointaine de comment les protéger; elles se font littéralement "piller".
Alors bien sur, dans dans ce cadre, pas de responsable informatique, encore moins de responsable de la sécurité; c'est avec le métier que tout se fait où se défait et l'analyse, la plupart du temps, part de la construction des processus pour en déduire le risques (avec l'analyse des menaces , bien sur).

La vraie question est pourquoi est-ce qu'une charte ou une politique de sécurité, même parfaite est très rarement appliquée ? car le but est bien que l'information soit protégée et non pas faire le constat impuissant que malgré une charte parfaite, l'entreprise est une passoire.

Comment croire que dans de grands groupes, avec un RSSI (quand il existe), avec parfois une petite équipe de quelques personnes et qui ont à protéger les informations de plus de 100 000 employés répartis dans la monde entier va être capable de faire appliquer la politique de sécurité ; à qui fera t on croire que ce RSSI là, bien souvent isolé au sein d'une DSI elle-même de plus en isolée, va être capable de protéger les informations métier du groupe ?

Extraits de diverses discussions sur des forum spécialisés :

Maïeutique: que vous employez ce mot ou un autre il s'agit de trouver chez vos interlocuteurs la connaissance métier que vous ne pouvez pas avoir et c'est pas une posture théorique mais le résultat d'une pratique longue, bien elle ne suffit pas à elle-même, après il faut apporter ce qui est spécifique sécurité.
J'ai été dans amené à décomposer les processus de fonctions telles que les fonctions achats, ventes, approvisionnement, commerciales, marketing et même communication et bien d'autres et grâce à cela identifié les données ou flux sensibles et donc capable de construire un plan d'action pour couvrir les risques; sans cette démarche je n'aurais pas pu car c'était plutôt flou dans la tête des intéressés; l'autre avantage, c'est de construire ensemble et quand vous demandez à un comité de direction le budget pour les plans d'action, vous avez les métiers de votre côté.

Holistique c'est un autre mot pour l'image de la chaine bien connue dans les milieux de sécurité : un niveau de sécurité c'est comme un chaine dont la solidité dépend du maillon le plus faible; cela ne veut pas dire qu'il tout faire et en même temps, cela veut dire qu'il voir le problème dans sa globalité sans peine d'inefficacité ou de non crédibilité; je prends un exemple qui est du vécu : suite à un risque identifié nous avions mis en place une solution sécurisée sur un poste de travail, chiffrement des données du réseau , identification renforcée; à la saisir des données sensibles, l'utilisateur, après avoir, saisi, jette le document source dans la poubelle du bureau et me dit : que faites vous pour sécuriser les poubelles de bureau ..dans le cadre qui était le notre, à l'époque, il n'était pas possible d'agir là-dessus .... vous imaginez la réaction de l'utilisateur à qui on demande un effort procédural .. on perd en crédibilité et sur le fond on sait très bien que le poubelle de bureau sont une source importante de fuite; l'analyse du processus de travail complet aurait vite fait de démontrer tous les aspect du problème ....

Hé oui la faille est dans l'humain qui a besoin de croire que quand il doit appliquer une règle, elle doit avoir un sens pour lui, pour son métier, alors que l'outil informatique n'est pour lui qu'un outil ..... d'où l'intérêt d'une démarche processus qui réintroduit le métier, non pas comme un mal nécessaire q'uil faut prendre en compte mais comme le coeur du problème dans le cadre d'une démarche qui devient à ce moment là par nécessité holistique.

Sécurité du Système d'Information

La démarche processus en Sécurité des SI