Sécuriser l'information sans nuire à sa valeur !

Assurer la sécurité de l'information est gage de pérennité et d'innovation pour l'entreprise face à la concurrence. A condition de savoir manager intelligemment cette sécurité pour ne pas nuire au développement de l'activité de l'entreprise.

L'information sera sans nul doute le pétrole du XXIème siècle. La détenir sera de plus en plus une force inestimable. En assurer la sécurité est gage de pérennité et d'innovation pour l'entreprise face à la concurrence et au marché. A condition de savoir manager intelligemment cette sécurité pour ne pas nuire au développement de l'entreprise et en alourdir le fonctionnement. Pour cela, un remède : une démarche de sécurité de l'information intégrée c'est-à-dire complètement immergée au management quotidien de l'entreprise ! Ni un silo, ni un état dans l'état, ni un sujet d'expert mais bel et bien une problématique du dirigeant et de chaque partie prenante (collaborateur, fournisseur…).

L'information et la sécurité de l'information deviennent ainsi une préoccupation au cœur de l'entreprise car touchant à tous les organes vitaux : responsabilité du dirigeant, maîtrise des vulnérabilités-menaces-risques, continuité d'activité, capital humain, connaissance-intelligence économique, système de management de l'entreprise, moyens de mesure et de surveillance, système d'information... Le tout, sous l’œil vigilant mais bienveillant de ISO 27001 !

1 – Comprendre : Lien et positionnement du management de l'information

1.a. Information, mais de quoi parle-t-on ?

"Information : Indication, renseignement, précision que l'on donne ou que l'on obtient sur quelqu'un ou quelque chose" (Larousse).
Dans l'entreprise, l'information prend différentes formes :

  • Information utile à l'entreprise pour se développer (veille) ;
  • Information sensible, interne à l’entreprise, disponible et fiable (maîtrise des risques) ;
  • Information à communiquer et diffuser sur l’entreprise, son image (Influence).

A ces différentes formes d'information sont liées des notions complémentaires de capital immatériel, de gestion des connaissances, d'intelligence économique…

1.b. Information et sécurité de l'information, pouvoir du dirigeant ?

L'information sous toutes ses formes et ses notions complémentaires doit être sécurisée. Sécurisée ? "La sécurité de l'information concerne la protection de la confidentialité, de l’intégrité et de la disponibilité de l’information" auxquelles se rajoutent d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité (ISO 27001).
Sécuriser l'information, la détenir et la préserver est juste vital et stratégique pour l'entreprise. C'est pourquoi c'est au dirigeant de s'en préoccuper. C'est de sa responsabilité. Il peut déléguer tel ou tel aspect, telle ou telle partie à un RSSI (Responsable de la sécurité de l'information), à un DSI (Directeur du systèmes d'information)… mais c'est bien lui qui donne le sens et les directives à suivre : la fameuse "politique". Il ne s'agit pas là de politique commerciale ou de politique de recrutement mais bel et bien de la "politique de sécurité de l'information" qui, comme toutes les autres politiques, assure l'alignement avec la stratégie de l'entreprise avec le système de management.

1.c. Le système de management de la sécurité de l'information ?

Parce qu'elle est vitale au plus au niveau de l'entreprise, cette information mérite d'être choyée, protégée, maîtrisée. C'est là qu'entre en jeu le système de management de l'information. "Système de management de la sécurité de l’information (SMSI) , partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information" (ISO 27001).
Pour cerner les contours d'un tel système, mieux vaut se référer à ISO 27001 (Techniques de sécurité - Systèmes de gestion de la sécurité de l'information). Comme le précise la définition ci-avant, bien moins qu'un système à part entière, il s'agit plutôt d'un ensemble de processus, moyens humains, moyens matériels, méthodes et outils intégrés au système de management de l'entreprise. Le SMSI en tant que tel, comme défini dans ISO 27001 n'a donc pas de sens en tant que tel. Loin d'être un état dans l'état et un système à part entière, c'est plutôt un contributeur à l'atteinte de la stratégie de l'organisme.
NB : Pour bien comprendre, il est possible de se référer aux fondamentaux du management de l'entreprise tels que décrits dans l'article "Le management , arme secrète pour assurer la pérennité de l'entreprise ?".

L'application au SMSI des fondamentaux du management de toute entreprise se résumerait ainsi : une politique de sécurité de l'information, alignée à la stratégie de l'entreprise, une analyse de risques incluant les risques liés à la sécurité de l'information, des objectifs de sécurité de l'information (pouvant s'inspirer et s'appuyer sur les 39 objectifs de sécurité de ISO 27001) et une planification. Les processus mis en œuvre au sein de l'entreprise ainsi que les flux, mesures de protection et prévention, moyens et contrôles associés incluent celles des 133 mesures de ISO 27001 qui sont applicables dans le contexte de l'entreprise (déclaration d'applicabilité).

2 – Valoriser l'existant : Les composantes de la sécurité de l'information au cœur de l'entreprise

De nombreuses composantes de la sécurité de l'information existent déjà à coup sûr au sein de l'entreprise. Il faut donc commencer par identifier, structurer et valoriser tout ce qui existe. Et compléter les composantes essentielles qui n'existent pas. Comment faire ?

Il suffit de cartographier l'existant selon deux axes d'analyse :

  • L'analyse par rapport aux "systèmes" de management déjà existants dans l'entreprise ;
  • L'analyse par rapport aux 133 mesures de ISO 27001.

2.a. L'analyse par rapport aux systèmes de management déjà existants dans l'entreprise

L'entreprise est managée. Un système de management existe donc. A minima, ce système de management permet de piloter l'entreprise. Il inclut "l'organisation, les politiques, les activités de planification, les responsabilités, les pratiques, les procédures, les processus et les ressources" (ISO 27001).
Ce système de management peut s'appuyer sur une ou plusieurs normes de système de management : ISO 9001 (management de la qualité), ISO 20000-1 (gestion de services) voire ISO 14001 (management de l'environnement), OHSAS 18001 (management de la santé et sécurité au travail)…, voire encore CMMi (maturité des systèmes d'information), Prince2 (gestion de projet informatique), ISO 21500 (management de projet) ou plus globalement ISO 26000 (développement durable).

2.b. L'analyse par rapport aux 133 mesures d'ISO 27001

Des mesures de sécurité de l'information existent dans toute entreprise. Où sont-elles ? Quelles sont-elles ? Pour le savoir, une check-list serait utile ! Et elle existe (cf. annexe A de ISO 27001) !
Voici donc dans les grandes lignes, la check-list inspirée d'ISO 27001 (les références A.x renvoient à l'annexe A de l'ISO 27001) :

A.5 / mesures relatives à la politique de sécurité et soutien de la direction
A.6 / mesures relatives à l'organisation de la sécurité de l'information au sein de l’organisme et avec les tiers (coordination, confidentialité, responsabilités, interfaces, revue, communication...)
A.7 / mesures relatives à la gestion des actifs (responsabilité, classification, inventaire...)
A.8 / mesures relatives à la sécurité des ressources humaines ie salariés, contractants et utilisateurs tiers (avant la contractualisation, pendant la durée du contrat, en fin de contrat ou lors de modifications)
A.9 / mesures relatives à la sécurité physique et environnementale
A.10 / mesures relatives à la gestion de l'exploitation et des télécommunications
A.11 / mesures relatives aux contrôles d'accès selon exigences métiers
A.12 / mesures relatives à l'acquisition, le développement et la maintenance des systèmes d'information
A.13 / mesures relatives à la gestion des incidents de sécurité (remontées, actions, améliorations)
A.14 / mesures relatives à la gestion de la continuité d'activité et protection des processus métier cruciaux
A.15 / mesures relatives à la conformité aux exigences légales et réglementaires, avec les politiques de sécurité et les standards, conformité technique, et audits.

3 – Renforcer : Les mesures de protection - prévention, pour diminuer le risque

Pour limiter les risques qui pèsent sur la sécurité de l'information et maîtriser l'information, des mesures de prévention-protection sont mises en place. Lesquelles ? Sont-elles suffisantes ?

3.a. Quels types de mesures de prévention-protection ?

Il existe une très grande variété de mesures de prévention-protection. Elles sont structurées en différentes catégories, les plus courantes étant : catégorie "Organisation", catégorie "Capital humain", catégorie "formation/information du personnel à la sécurité de l'information", catégorie "Moyens de localisation", catégorie "moyen de documentation adapté", catégorie "existence et mise en œuvre d'une dynamique d'évolution et d'amélioration continue", catégorie "existence et mise en œuvre de moyens de contrôles et mesures", catégorie "préservation", catégorie "existence et mise en œuvre de moyens et infrastructures", catégorie "Veille".

NB: les mesures de l'ISO 27001 (annexe A) vues précédemment sont incluses de façon plus fine dans la liste de catégories ci-avant. Sachant que par expérience, les catégories relatives à la dimension humaine (organisation, capital humain, formation) sont de loin les plus importantes dès qu'il s'agit de sécurité de l'information. Et s'il devait y en avoir une juste après, ça serait la catégorie "préservation".
Rappel : l'ISO 27001 dressent une liste exhaustive de mesure de sécurité, avec l'avantage de les classer par objectif de sécurité associé (cf. chapitre précédent).

3.b. Comment savoir si elles sont suffisantes ?

Nous l'avons vu ci-avant, un risque est l'exploitation par une menace de la vulnérabilité d'un bien. Les mesures de protections-préventions ont pour but d'atténuer les vulnérabilités et/ou les menaces afin de ramener le risque à un niveau acceptable. C'est donc le niveau de risque résiduel qui nous permet de savoir si les mesures sont suffisantes. Si le niveau de risque résiduel est encore trop élevé, il faudra ajouter des mesures pour réduire les risques significatifs restant (les plus fréquents et/ou ceux dont l'impact est le plus grave).

4 – Surveiller : Les moyens de surveillance

Comme vu aux chapitres précédents, certaines mesures de protection-prévention correspondent à des moyens de surveillance (contrôles, audits...). Il s'agit ici de s'intéresser plus largement aux moyens de surveillance et contrôle et surtout à leur cohérence.

4.a. Quels moyens de surveillance ?

  • tableau de bord de sécurité de l'information
  • diagnostic et audit à valeur ajoutée
  • contrôles intégrés au système d'information, contrôle a priori, contrôles a posteriori
  • revue de processus, de pilotage, de management, de système…

4.b. Quelle cohérence entre ces moyens de surveillance ?

Le plus important ici est bel et bien d'utiliser intelligemment, à bon escient et de façon cohérente chacun des ces moyens.
Quelques exemples :

  • Inutile de bombarder tel ou aspect de nombreux moyens complémentaires (par exemple, indicateur de processus, revue de processus et audit de processus) et de laisser tel autre aspect vierge de toute surveillance.
  • Améliorer la programmation des mesures d'année en année pour compléter, ajuster, affiner en N+1 ce qui a déjà été vu lors de l'année N. Plutôt que de refaire chaque année systématiquement les mêmes vérifications ou d'échantillonner au hasard.

5 – Améliorer : L'édifice sécurité de l'information

Sur la base des résultats de surveillance vu ci-avant, des pistes d'amélioration sont identifiées. Elles concernent aussi bien les actifs, les menaces, les vulnérabilités, les risques, les mesures de protection-prévention.
Le plus important ici est de bien identifier toutes les pistes d'amélioration possibles, sachant que la direction retiendra celles les plus aptes à servir la politique de sécurité de l'information, et par ricochet, la stratégie de l'entreprise. La boucle est bouclée !