Ré-impliquer la maîtrise d’ouvrage sur la sécurité du SI
Pour parler crûment, la SSI, tout le monde s’en fiche ! C’est abrupt mais pas totalement dénué de vérité. La sécurité du système d’information, au travers de ses composantes hyper techniques, n’apparaît pas comme un besoin pleinement identifié comme le serait la communication sur le web et les solutions métiers. Solutions pragmatiques pour RSSI motivés.
La SSI aujourd’hui, apparemment une affaire de techniciens
Pour bon nombre de responsables de la sécurité des systèmes d’information, le challenge sous-jacent est de se faire comprendre de la direction. Une analogie, à prendre néanmoins avec des pincettes, reste celle de la voiture. Quand une direction se plaint des surcoûts engendrés par de nouvelles mesures de sécurité, elle remarquera qu’une voiture, elle, est vendue avec ses airbags !
Pourtant, la sécurité automobile est une notion plutôt récente au regard du développement de l’industrie automobile et la sécurité des systèmes d’information ne fait pas exception. Il y a derrière tout ça l’idée d’une lente et laborieuse prise de conscience. Pour une maîtrise d’ouvrage, ces questions de sécurité lui sont étrangères et souvent pénibles.
Le cas de la SSI vue comme comme une contrainte de coûts artificiels supplémentaires est prégnant dans les projets de réalisation applicative (DEV, REAL, BUILD).
Seuls quelques paramètres, déjà anciens et aujourd’hui bien intégrés parviennent encore à capter l’attention des décideurs. Il s’agit principalement des obligations légales et règlementaires, de la sûreté de fonctionnement, la continuité d’activité, la sécurité incendie, l’intérêt d’une sauvegarde restauration.
Pour le reste et tant que le Big One n’est pas arrivé, la maîtrise d’ouvrage balaye généralement d’un revers de main les questions de sécurité.
Par ailleurs, le coût de la sécurité et son « ROI » associé restent très délicats à définir. Certains ont ainsi cherché à établir des indicateurs afin de faire remonter les coûts mais il leur est vite apparu que ce travail, fastidieux, n’amenait pas forcément de résultats tangibles. Principalement d’ailleurs à cause des frontières diffuses entre sécurité et infrastructures. Autant le coût d’un firewall se détermine, autant les paramètres de sécurité intégrés au matériel d’interconnexion ne permettent pas de dégager leur coût spécifique.
Ré-impliquer, quitte à provoquer (un peu)
Mais la sécurité aujourd’hui n’est plus uniquement une histoire de matériel. Il appartient aux DSI, aux maîtres d’œuvres, aux techniciens d’essayer de ré-impliquer les décideurs sur le besoin de sécurité. Pour une raison fondamentale :
Les besoins en sécurité sont éminemment riches et variés et seule la direction est en mesure de choisir les niveaux de paramètres de sécurité qu’ils désirent en fonction de l’état de l’art et du prix.
Certains n’ont peut-être pas besoin de sécurité. Ou, dit autrement : tant que rien n’est demandé, rien n’est sécurisé. Vous l’aurez compris, c’est une provocation à manier avec beaucoup de tact mais qui a le mérite de rappeler qui est le donneur d’ordre et pourquoi l’investissement de la direction est primordial.
A défaut de se lancer dans d’interminables analyses de risques jargonnantes, au risque de perdre ses interlocuteurs, la rédaction de scénarii « catastrophe », à partir d’analyse de risques flash (une AdR = 1 application = 1 jour = 1 page), permet d’impliquer les décideurs sur des sujets qu’ils maîtrisent.
L’objectif est d’aboutir à des cas d’arbitrages au regard des principes de disponibilité, d’intégrité et de confidentialité en partant du principe que le risque 0 n’existe pas. Arbitrer, c’est accepter (et signer) une tolérance vis-à-vis de l’indisponibilité d’un service (pour combien de temps ?), de la confidentialité de certaines informations (quels types d’informations ?) ou encore de l’image de l’entreprise (vis-à-vis de qui ? Y aura-t-il des relais d’opinion ?).
C’est donc répondre à la question « que voulez-vous que l’on sécurise ? » et pourquoi ?
Les métiers auront leur mot à dire et bien souvent, il leur sera inacceptable d’admettre une indisponibilité même réduite. Il est alors temps d’aller au fond des choses et de se demander dans quelle mesure les conséquences auront ou non de graves répercussions. La demande métier, rapportée au coût engendré par les mesures de sécurité qu’elle induit puis analysée au regard du niveau de tolérance à la menace, consolide la décision, l’arbitrage de la direction.
A ce stade, RSSI, métiers et Direction générale sont entrés dans un dialogue concret et compris de tous sans tomber dans l’ornière du discours technique. Il pourra aller jusqu’à revêtir des aspects politiques, révélateurs de dégradations considérées comme inacceptables.
Les choix éclairés de la direction générale auront pour effet de dimensionner les analyses de risques et d’apporter les réponses pour la mise en œuvre ensuite.
Cet article est issu de la journée de formation animée par Benoit LEGER « Faire intégrer la sécurité aux MOA », pour Le Club Equipes et Compétences SI. La présentation complète, le compte-rendu et le support sont accessibles aux membres.
Pas encore membre des Clubs OLG ? Découvrez les prochains rendez-vous des clubs OLG et participez gratuitement à celui de votre choix.