Le management de la sécurité des SI: un enjeu majeur pour les entreprises.

Dans le contexte actuel de crise financière exacerbée par l’affaire Kerviel, la question de la sécurisation de l’accès aux données dans les entreprises, et plus particulièrement dans les banques, est plus que jamais un élément déterminant de la gouvernance d’entreprise.

Qui est qui ? Qui fait quoi ? Qui accède à quoi ? Qui a donné le droit de faire quoi ?... Telles sont les questions auxquelles il est devenu indispensable de répondre d'autant plus que les applications sont de plus en plus ouvertes aux différents acteurs de l'entreprise et que la réglementation en termes de contrôle interne est beaucoup plus intensive.

La sécurité des systèmes d'information (SSI) qui repose sur l'utilisation de quelques techniques telles que, l'authentification des utilisateurs, le contrôle d'accès aux ressources, la non-répudiation, et l'audit des traces de sécurité, est caractérisée par 3 éléments principaux :

Une contrainte règlementaire forte avec la norme ISO 27001, BS 7799-2 (pour la gestion des habilitations), qui définit la politique de management de la sécurité des SI au sein d'une entreprise, la loi Sarbanes-Oxley qui impose de nouvelles règles de traçabilité, et la loi du 31 juillet 2002 qui oblige les entreprises à mettre en place un contrôle interne intensif, s'appuyant sur un cadre conceptuel.

Un contexte en évolution permanente résultant des nombreux mouvements du personnel (réorganisation, entrées/ sorties/ mutations des employés et prestataires), et des lancements fréquents de nouveaux produits/ fonctionnalités synonyme d'augmentation des applications.

Et un existant souvent incomplet au regard des exigences règlementaires puisque les processus jusqu'à présent mis en place dans les entreprises en termes de sécurité du système d'information sont souvent complexes et difficiles à maintenir.

Face à cette problématique croissante, il est essentiel pour les sociétés et notamment les banques de développer une approche plus complète de leur SSI, c'est-à-dire qui passe à la fois par un réseau d'acteurs qualifiés et habilités à affecter leurs accès aux employés mais également par des outils logiciels opérationnels. Le but étant, une fois le système d'information équipé d'un référentiel mutualisé (garant d'une identité de qualité et de traçabilité parfaite et répondant aux exigences légales) de savoir qui fait quoi et comment au sein même de l'entreprise.

La mise en place de process et d'outils assurant la confidentialité, la disponibilité, l'intégrité mais aussi la traçabilité au sein du système d'information doit donc passer par plusieurs étapes, à savoir:
  • Une analyse des processus existants au sein de l'entreprise, qui concerne le processus d'arrivée de nouveaux collaborateurs (RH pour les internes ou autres pour les prestataires), le processus de définition des besoins de chaque métier en matière d'accès au SI et le processus de développement ou d'intégration de nouvelles applications.
  • Déterminer une politique de sécurité globale d'entreprise couvrant l'ensemble de la problématique de management de la sécurité du SI et en particulier la gestion des accès au SI.
  • Proposer un processus opérationnel conforme à cette politique avec:  
    - L'identification des acteurs de la gestion des habilitations.
    - La définition de bouquets applicatifs en adéquation avec les besoins métiers : une sorte de « valise » prête à fournir à chaque nouvel arrivant l'ensemble de ses besoins d'accès aux SI.
    -  La définition de processus de demande et d'attribution des accès.
    - La mise en place de processus de contrôle pour le suivi et la maîtrise des accès accordés avec détection des accès non justifiés par les besoins métier, détection des changements d'activité et des mouvements, détection des départs, etc.
  • Le respect des exigences légales (protection des données privées, protection des données bancaires des clients, respect des règles de concurrences, etc.) ou de séparation des tâches en mettant en place des matrices d'incompatibilité : accès applicatifs non autorisés à certaines parties de l'organisation ou accès applicatifs dont le cumul n'est pas possible par une même personne.
  • La maîtrise des exceptions en proposant un processus spécifique hors 'norme' qui tout en apportant de la souplesse, apportera maîtrise et contrôle des écarts.
  • Et le respect de la réglementation (norme ISO 27001, SOX) tout au long de la démarche.

    Gérer pour mieux gagner
    Finalement, la SSI et sa mise en place optimale au sein d'une entreprise, passent par la mise en place de la notion d'automatisation du système, seul garant d'un véritable contrôle de cohérence. Il est impératif d'initialiser entièrement le process existant au sein de l'entreprise. Cela suppose une intégration fonctionnelle, favorisée par une connaissance des structures et des métiers des clients, une intégration technique, favorisée par une connaissance de la filière IT, et par une capacité à mobiliser rapidement une expertise globale, et une maîtrise des coûts, favorisée par la capitalisation des expériences et des missions précédentes.

    En termes de résultats, la SSI permet donc :
    - L'augmentation des gains de productivité, due à la suppression des revues réalisées par une équipe centralisée (dispositif lourd et coûteux), et au fait que l'ensemble des managers ne soit plus systématiquement sollicité grâce à la mise en place de contrôles automatiques.
    - Le développement des contrôles nécessaires à la certification ISO 27001 ou SOX impliquant une traçabilité et une auditabilité parfaites, une habilitation stricte des acteurs intervenant dans le circuit, une adéquation entre les accès accordés et les besoins métiers, le respect des contraintes techniques et légales (SOD), et une gestion rigoureuse des mouvements internes et des départs des employés.
    - Et une réelle maîtrise des risques liés aux éventuelles malveillances effectuées par le biais d'accès illégitimes, en identifiant quelles personnes au sein de l'organisation accèdent aux applications sensibles.