La gouvernance

Laisser un commentaire / Par /

La gouvernance ? Kezako ?

La gouvernance est la branche de la cybersécurité qui est portée au plus niveau dans l’entreprise (ou autre). En effet, elle est portée par le Responsable de la Sécurité des Systèmes d’Information (RSSI en français, CISO en anglais).

Durant l’article, je parlerai d’entreprise. Bien entendu, il s’agit d’un raccourci car il faut plutôt lire personne moral, que ça soit une entreprise, une association, une fondation, une collectivité, etc.

Le RSSI

Ce dernier peut être rattaché à la Direction des Systèmes d’Information (DSI), à la Direction Administrative et Financière (DAF) ou directement au comité exécutif. Très souvent, l’organigramme et donc le rattachement du RSSI permet d’avoir une idée de la maturité cyber de l’entreprise.

Si une entreprise ne possède pas de RSSI, cela signifie qu’elle ne s’est pas encore intéressée à la cyber. Tôt ou tard, elle devrait changer son point de vue sur le cyber, souvent par le retour d’expérience d’une attaque.

Lorsqu’elle débute en cyber, et qu’elle embauche un RSSI, elle considère que la cyber sécurité n’est que de l’informatique et rattache ce dernier à la DSI. Ce rattachement qui peut paraitre logique et très souvent gênant. En effet, le travail d’un RSSI est d’augmenter le niveau de sécurité afin d’atteindre un niveau acceptable au vu des activités de l’entreprise. Pour ce faire, il va souvent analyser le travail réalisée par la DSI et risque ainsi de remettre en cause le travail des équipes de son chef direct.

Une fois ce blocage remarqué et l’organisation modifiée, si besoin, le RSSI peut se retrouver rattaché à la DAF ou au comité exécutif. S’il est rattaché à la DAF, la encore ça peut signifier que la cyber est vue d’un point de vue uniquement financier. Cependant, le budget du RSSI et de son équipe sera décorrélé de celui de la DSI, ce qui sera déjà une grosse avancée.

Si le RSSI dépend directement du comité exécutif, l’entreprise a compris que la cyber est une branche à part dans la vie et la survie de son activité et qu’à ce titre, le RSSI remontra directement ses indicateurs sécurité aux personnes ayant le pouvoir décisionnel. De plus, le RSSI aura son budget dédié (pas forcément énorme).

Le travail du RSSI passe, entre autres, par la gouvernance

La norme ISO/IEC 38500 concerne la gouvernance des processus de gestion et les décisions relatives aux services d’information et de communication d’une organisation.
Il définit six principes

  • Établir les responsabilités
  • Planifier pour soutenir au mieux l’organisation
  • Faire des acquisitions pour des raisons valables
  • Assurer les niveaux de performance nécessaires
  • Assurer la conformité aux règles
  • Assurer le respect des facteurs humains

(source : https://www.itgovernance.eu/fr-fr/iso-38500-fr )

Pour cela, le RSSI peut s’appuyer sur des standards en la matière. Le plus connu est la famille d’ISO 2700X, avec la 27001 version 2013 (la nouvelle version 2022 commence à être intégrée dans les entreprises).
Il existe d’autres standards est suivant où nous nous situons dans le monde, ils auront une importance plus ou moins importante.

Grâce à ces standards, ou des créations internes à l’entreprise, le RSSI va pouvoir définir une Politique de Sécurité des Systèmes d’Information (PSSI), véritable pierre angulaire de la cyber sécurité.

La PSSI

La PSSI est le document le plus important d’un point de vue de la cyber sécurité d’une entreprise. Il sera ratifié par la Direction, ce qui permettra d’appuyer son important et son caractère obligatoire.

Elle comportera des éléments différents suivant les domaines d’activité, la maturité de l’entreprise, etc, mais très souvent elle comporte le schéma organisationnel de la cyber sécurité, le décisionnel en cas d’incident cyber, ou en fait référence, la stratégie de classification de l’information : personnelle, interne, confidentielle, etc.
Elle peut également traiter de l’importance des sensibilisations et formations sur le sujet, la politique de mots de passe pour les utilisateurs, mais aussi pour les administrateurs, la mise en place d’un Multi Facteur d’Authentification (sera le sujet d’un autre article), etc.

Les indicateurs de sécurité

Maintenant que notre entreprise possède une PSSI avec des ambitions de sécurité, il faut pouvoir suivre les écarts entre l’attendu et le réel. Pour cela, le RSSI utilise un autre pilier de la gouvernance : les indicateurs de sécurité (KPI).

Ces indicateurs peuvent variés et suivrent le déploiement d’un outil de sécurité sur les serveurs, la version des systèmes d’exploitations et leurs patchs de sécurité (les fameux KB sous windows), le renouvellement des mots de passe suite à une modification de la politique dédiée, le déploiement du MFA, le renouvellement des postes plus sécurisés, le nombre de tentatives d’intrusion, etc.

Le RSSI a pour objectif de formaliser ces indicateurs et d’en faire la synthèse à la Direction. Ces indicateurs peuvent, indirectement, aider le RSSI a obtenir de nouveaux budgets pour continuer l’amélioration du niveau de sécurité de l’entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Retour en haut