Tableau de bord de gouvernance organisationnelle
Gouverner, voilà un mot que les hommes politiques aiment. Mais il ne s’agit pas, dans le contexte de la cybersécurité, du même type de gouvernance. Gouverner la sécurité de l’information et la cybersécurité de l’entreprise passe par un type de gouvernance précis et qui allie deux spécialités complémentaires qui garantissent la sécurité globale de l’information de l’entreprise : la sécurité opérationnelle et la sécurité organisationnelle.
Qui gouverne la sécurité de l’information de l’entreprise ?
Le CISO (Chief Information Security Officer) ou RSSI (Responsable de la Sécurité du Système d’Information) est le garant même de cette gouvernance. Il est , en fait, le stratège même de celle-ci, et il n’agit pas seul, car il conçoit cette gouvernance avec les dirigeants de l’entreprise afin de permettre que ce qu’il conçoit pour gouverner la sécurité de l’information, rejoigne les objectifs d’affaires de l’entreprise. Gouverner la sécurité de l’information suppose déjà d’accepter de ne pas être seul. La cybercriminalité existante à l’extérieur des murs de l’entreprise et les actions possibles d’utilisateurs en interne peuvent compromettre la sécurité de l’information, car elle n’est pas uniquement numérique mais aussi de nature physique. Beaucoup d’entreprises n’ont pas mis en place une réelle sécurité de l’information car cela suppose des investissements importants, et c’est justement en émettant cette pensée cette pensée que ces entreprises se trompent. Qu’est-ce qui est le plus important pour l’entreprise ? Engranger davantage de profits. Malheureusement, ce modèle oublie que pour assurer sa rentabilité, une entreprise doit de se protéger efficacement contre toutes sortes de malversations pouvant, en peu de temps, mettre en danger la vie même de l’entreprise, entraînant, du même coup des crises pouvant nuire à son image de marque jusqu’aux aux salariés eux-mêmes voire à l’existence de l’entreprise.
Alors que se doit de faire une entreprise pour sauvegarder son image, ses services et ses affaires ? La réponse est dans la mise en place par le RSSI, en étroite collaboration avec les dirigeants de l’entreprise, d’une gouvernance qui va allier politique, directives et procédures de sécurité avec la sécurité opérationnelle déjà en place, le tout géré par des outils logiciels et de management de la sécurité de l’information qui vont lui permettre de réellement gouverner la sécurité de l’information de l’entreprise dans son ensemble et ainsi, de garantir la pérennité des affaires.
Comment créer une véritable gouvernance de la sécurité de l’information ?
Les normes internationales de sécurité de l’ISO (27001,27002, 27005 et suivantes) permettent au RSSI de mettre en place un système de management de la sécurité de l’information (SMSI), via la norme ISO 27001 par le mise en place de politiques , de directives et de procédures de sécurité mais cela n’est pas suffisant : les bonnes pratiques de sécurité ISO 27002:2013) est là pour aider le RSSI à mettre en place les bonnes pratiques de sécurité, au sein même de l’entreprise. Enfin, le RSSI s’appuie également sur d’autres personnes qui gèrent dans l’entreprise les aspects opérationnels de la sécurité : Le RSO (Responsable de la sécurité Opérationnelle) lui, gère la sécurité opérationnelle de l’entreprise au niveau des technologies de sécurité implémentées sur le système d’information pour assurer la sécurité de celui-ci. Le CIL (Correspondant Informatique et Libertés), le services des ressources humaines et les Responsables juridiques doivent également l’assister dans la gouvernance de la sécurité de l’information.
Gouverner c’est prévoir :
Notre cabinet de conseil assiste ses clients dans la mise en place de la gouvernance de la sécurité de l’information et également dans le renforcement de cette même sécurité via des missions de conseil et d’assistance auprès des RSSI et des DSI. Les cybermenaces sont bien réelles et plus de 70 % des entreprises Françaises ne sont pas suffisamment bien protégées et, vu cet état de fait, ne gouvernent pas la sécurité des informations qu’elles produisent. Les récentes attaques les plus médiatisées (ainsi que d’autres qui le sont moins) sont là pour attester de la véracité de ces informations. C’est pour cela que l’adage « Gouverner c’est prévoir » prend tout son sens. Que vous soyez une PME ou une grande entreprise, il vous faut dès maintenant penser à véritablement gouverner votre sécurité.
Ces derniers mois, nous avons constaté que cette gouvernance organisationnelle et opérationnelle est parfois mise en place mais en oubliant un facteur essentiel dans sa mise en place dans l’entreprise : informer les collaborateurs de l’entreprise via des sessions de sensibilisation. Mais il n’y a pas que les collaborateurs qu’il faut sensibiliser : les dirigeants également. Trop souvent, les attaques ont lieu et les entreprises ont beaucoup de mal à y faire face car les dirigeants n’ont pas pris les mesures nécessaires car étant eux mêmes non sensibilisés. Les réseaux cybercriminels sont devenus très puissants financièrement et rivalisent d’ingéniosité et commettent des attaques de plus en plus sophistiquées. Cette course technologique n’oublie pas les techniques d’ingénierie sociale qui vise à utiliser les collaborateurs des entreprises comme transmetteurs d’informations via des contacts directs (par téléphone) ou par des rendez-vous et même via des technologies logicielles capables de remonter des informations sensibles. Alors, que vont faire maintenant les dirigeants des entreprises Françaises en 2016 ? Faisons ensemble mentir ces statistiques qui indiquent un niveau de sécurité moyen des entreprises Françaises et apprenez à véritablement gouverner la sécurité des informations produites par votre entreprise et vous mettrez véritablement en place ce système double de gouvernance qui permettra à votre entreprise d’être enfin prête à faire face et à réagir de la meilleure façon qui soit face aux attaques : avec l’exigence, la rapidité et l’efficacité voulue afin que votre entreprise et vos affaires soient pérennes.
Le blog d'Expert-Security 