Sécuriser l'information sans nuire à sa valeur !
Assurer la sécurité de l'information est gage de pérennité et d'innovation pour l'entreprise face à la concurrence. A condition de savoir manager intelligemment cette sécurité pour ne pas nuire au développement de l'activité de l'entreprise.
L'information sera sans nul doute le pétrole du XXIème siècle. La détenir sera de plus en plus une force inestimable. En assurer la sécurité est gage de pérennité et d'innovation pour l'entreprise face à la concurrence et au marché. A condition de savoir manager intelligemment cette sécurité pour ne pas nuire au développement de l'entreprise et en alourdir le fonctionnement. Pour cela, un remède : une démarche de sécurité de l'information intégrée c'est-à-dire complètement immergée au management quotidien de l'entreprise ! Ni un silo, ni un état dans l'état, ni un sujet d'expert mais bel et bien une problématique du dirigeant et de chaque partie prenante (collaborateur, fournisseur…).
L'information et la sécurité de l'information deviennent ainsi une préoccupation au cœur de l'entreprise car touchant à tous les organes vitaux : responsabilité du dirigeant, maîtrise des vulnérabilités-menaces-risques, continuité d'activité, capital humain, connaissance-intelligence économique, système de management de l'entreprise, moyens de mesure et de surveillance, système d'information... Le tout, sous l’œil vigilant mais bienveillant de ISO 27001 !
1 – Comprendre : Lien et positionnement du management de l'information
1.a. Information, mais de quoi parle-t-on ?
"Information : Indication, renseignement, précision que
l'on donne ou que l'on obtient sur quelqu'un ou quelque chose"
(Larousse).
Dans l'entreprise, l'information prend différentes formes :
- Information utile à l'entreprise pour se développer (veille) ;
- Information sensible, interne à l’entreprise, disponible et fiable (maîtrise des risques) ;
- Information à communiquer et diffuser sur l’entreprise, son
image (Influence).
A ces différentes formes d'information sont liées des notions
complémentaires de capital immatériel, de gestion des
connaissances, d'intelligence économique…
1.b. Information et sécurité de l'information, pouvoir du dirigeant ?
L'information sous toutes ses formes et ses notions complémentaires
doit être sécurisée. Sécurisée ? "La sécurité de
l'information concerne la protection de la confidentialité, de
l’intégrité et de la disponibilité de l’information"
auxquelles se rajoutent d’autres propriétés, telles que
l’authenticité, l’imputabilité, la non-répudiation et la
fiabilité (ISO 27001).
Sécuriser l'information, la détenir et la préserver est juste
vital et stratégique pour l'entreprise. C'est pourquoi c'est au
dirigeant de s'en préoccuper. C'est de sa responsabilité. Il peut
déléguer tel ou tel aspect, telle ou telle partie à un RSSI
(Responsable de la sécurité de l'information), à un DSI (Directeur
du systèmes d'information)… mais c'est bien lui qui donne le
sens et les directives à suivre : la fameuse "politique".
Il ne s'agit pas là de politique commerciale ou de politique de recrutement mais bel et bien de la "politique de sécurité de
l'information" qui, comme toutes les autres politiques, assure
l'alignement avec la stratégie de l'entreprise avec le système de
management.
1.c. Le système de management de la sécurité de l'information ?
Parce qu'elle est vitale au plus au niveau de l'entreprise, cette
information mérite d'être choyée, protégée, maîtrisée. C'est
là qu'entre en jeu le système de management de l'information. "Système de management de la sécurité de l’information
(SMSI) , partie du système de management global, basée sur une
approche du risque lié à l'activité, visant à établir, mettre en
œuvre, exploiter, surveiller, réexaminer, tenir à jour et
améliorer la sécurité de l'information" (ISO 27001).
Pour cerner les contours d'un tel système, mieux vaut se référer à
ISO 27001 (Techniques de sécurité - Systèmes de gestion de la
sécurité de l'information). Comme le précise la définition
ci-avant, bien moins qu'un système à part entière, il s'agit
plutôt d'un ensemble de processus, moyens humains, moyens matériels,
méthodes et outils intégrés au système de management de
l'entreprise. Le SMSI en tant que tel, comme défini dans ISO 27001
n'a donc pas de sens en tant que tel. Loin d'être un état dans
l'état et un système à part entière, c'est plutôt un
contributeur à l'atteinte de la stratégie de l'organisme.
NB : Pour bien comprendre, il est possible de se référer aux
fondamentaux du management de l'entreprise tels que décrits dans
l'article "Le management , arme secrète pour assurer la pérennité de l'entreprise ?".
L'application au SMSI des fondamentaux du management de toute
entreprise se résumerait ainsi : une politique de sécurité de
l'information, alignée à la stratégie de l'entreprise, une analyse
de risques incluant les risques liés à la
sécurité de l'information, des objectifs de sécurité de
l'information (pouvant s'inspirer et s'appuyer sur les 39 objectifs
de sécurité de ISO 27001) et une planification. Les
processus mis en œuvre au sein de l'entreprise ainsi que les flux,
mesures de protection et prévention, moyens et contrôles associés
incluent celles des 133 mesures de ISO 27001 qui sont applicables
dans le contexte de l'entreprise (déclaration d'applicabilité).
2 – Valoriser l'existant : Les composantes de la sécurité de l'information au cœur de l'entreprise
De nombreuses composantes de la sécurité de l'information
existent déjà à coup sûr au sein de l'entreprise. Il faut donc
commencer par identifier, structurer et valoriser tout ce qui existe.
Et compléter les composantes essentielles qui n'existent pas.
Comment faire ?
Il suffit de cartographier l'existant selon deux axes d'analyse :
- L'analyse par rapport aux "systèmes" de management déjà existants dans l'entreprise ;
- L'analyse par rapport aux 133 mesures de ISO 27001.
2.a. L'analyse par rapport aux systèmes de management déjà existants dans l'entreprise
L'entreprise est managée. Un système de management existe donc. A
minima, ce système de management permet de piloter l'entreprise. Il
inclut "l'organisation, les politiques, les activités de
planification, les responsabilités, les pratiques, les procédures,
les processus et les ressources" (ISO 27001).
Ce système de management peut s'appuyer sur une ou plusieurs normes
de système de management : ISO 9001 (management de la qualité),
ISO 20000-1 (gestion de services) voire ISO 14001 (management de
l'environnement), OHSAS 18001 (management de la santé et sécurité
au travail)…, voire encore CMMi (maturité des systèmes
d'information), Prince2 (gestion de projet informatique), ISO 21500
(management de projet) ou plus globalement ISO 26000 (développement
durable).
2.b. L'analyse par rapport aux 133 mesures d'ISO 27001
Des mesures de sécurité de l'information existent dans toute
entreprise. Où sont-elles ? Quelles sont-elles ? Pour le
savoir, une check-list serait utile ! Et elle existe (cf. annexe
A de ISO 27001) !
Voici donc dans les grandes lignes, la check-list inspirée d'ISO 27001 (les références A.x renvoient à l'annexe A de l'ISO 27001) :
A.5 / mesures relatives à la politique de sécurité et soutien de
la direction
A.6 / mesures relatives à l'organisation de la sécurité de
l'information au sein de l’organisme et avec les tiers
(coordination, confidentialité, responsabilités, interfaces, revue,
communication...)
A.7 / mesures relatives à la gestion des actifs (responsabilité,
classification, inventaire...)
A.8 / mesures relatives à la sécurité des ressources humaines ie
salariés, contractants et utilisateurs tiers (avant la
contractualisation, pendant la durée du contrat, en fin de contrat
ou lors de modifications)
A.9 / mesures relatives à la sécurité physique et environnementale
A.10 / mesures relatives à la gestion de l'exploitation et des
télécommunications
A.11 / mesures relatives aux contrôles d'accès selon exigences
métiers
A.12 / mesures relatives à l'acquisition, le développement et
la maintenance des systèmes d'information
A.13 / mesures relatives à la gestion des incidents de sécurité
(remontées, actions, améliorations)
A.14 / mesures relatives à la gestion de la continuité d'activité
et protection des processus métier cruciaux
A.15 / mesures relatives à la conformité aux exigences légales et
réglementaires, avec les politiques de sécurité et les standards,
conformité technique, et audits.
3 – Renforcer : Les mesures de protection - prévention, pour diminuer le risque
Pour limiter les risques qui pèsent sur la sécurité de
l'information et maîtriser l'information, des mesures de
prévention-protection sont mises en place. Lesquelles ?
Sont-elles suffisantes ?
3.a. Quels types de mesures de prévention-protection ?
Il existe une très grande variété de mesures de
prévention-protection. Elles sont structurées en différentes
catégories, les plus courantes étant : catégorie "Organisation", catégorie "Capital humain",
catégorie "formation/information du personnel à la sécurité
de l'information", catégorie "Moyens de
localisation", catégorie "moyen de documentation
adapté", catégorie "existence et mise en œuvre
d'une dynamique d'évolution et d'amélioration continue",
catégorie "existence et mise en œuvre de moyens de contrôles
et mesures", catégorie "préservation",
catégorie "existence et mise en œuvre de moyens et
infrastructures", catégorie "Veille".
NB: les mesures de l'ISO 27001 (annexe A) vues précédemment sont
incluses de façon plus fine dans la liste de catégories ci-avant. Sachant que par expérience, les catégories relatives à la
dimension humaine (organisation, capital humain, formation) sont de
loin les plus importantes dès qu'il s'agit de sécurité de
l'information. Et s'il devait y en avoir une juste après, ça serait
la catégorie "préservation".
Rappel : l'ISO 27001 dressent une liste exhaustive de mesure de
sécurité, avec l'avantage de les classer par objectif de sécurité
associé (cf. chapitre précédent).
3.b. Comment savoir si elles sont suffisantes ?
Nous l'avons vu ci-avant, un risque est l'exploitation par une
menace de la vulnérabilité d'un bien. Les mesures de
protections-préventions ont pour but d'atténuer les vulnérabilités
et/ou les menaces afin de ramener le risque à un niveau acceptable.
C'est donc le niveau de risque résiduel qui nous permet de savoir si
les mesures sont suffisantes. Si le niveau de risque résiduel est
encore trop élevé, il faudra ajouter des mesures pour réduire les
risques significatifs restant (les plus fréquents et/ou ceux dont
l'impact est le plus grave).
4 – Surveiller : Les moyens de surveillance
Comme vu aux chapitres précédents, certaines mesures de
protection-prévention correspondent à des moyens de surveillance
(contrôles, audits...). Il s'agit ici de s'intéresser plus
largement aux moyens de surveillance et contrôle et surtout à leur
cohérence.
4.a. Quels moyens de surveillance ?
- tableau de bord de sécurité de l'information
- diagnostic et audit à valeur ajoutée
- contrôles intégrés au système d'information, contrôle a priori, contrôles a posteriori
- revue de processus, de pilotage, de management, de système…
- …
4.b. Quelle cohérence entre ces moyens de surveillance ?
Le plus important ici est bel et bien d'utiliser intelligemment, à
bon escient et de façon cohérente chacun des ces moyens.
Quelques
exemples :
- Inutile de bombarder tel ou aspect de nombreux moyens complémentaires (par exemple, indicateur de processus, revue de processus et audit de processus) et de laisser tel autre aspect vierge de toute surveillance.
- Améliorer la programmation des mesures d'année en année pour
compléter, ajuster, affiner en N+1 ce qui a déjà été vu lors de
l'année N. Plutôt que de refaire chaque année systématiquement
les mêmes vérifications ou d'échantillonner au hasard.
5 – Améliorer : L'édifice sécurité de l'information
Sur la base des résultats de surveillance vu ci-avant, des pistes
d'amélioration sont identifiées. Elles concernent aussi bien les
actifs, les menaces, les vulnérabilités, les risques, les mesures
de protection-prévention.
Le plus important ici est de bien identifier toutes les pistes
d'amélioration possibles, sachant que la direction retiendra celles
les plus aptes à servir la politique de sécurité de l'information,
et par ricochet, la stratégie de l'entreprise. La boucle est
bouclée !