Prérequis
Introduction
La norme ISO 27001 est un standard de gouvernance qui traite du sujet de la sécurité de l’information.
Un standard ou une norme de gouvernance suppose l’établissement d’exigences ou de lignes directrices, propres à aider les organismes dans la gestion de leurs politiques et de leurs processus dans le but d’atteindre des objectifs préalablement définis.
Cette présentation, appliquée au domaine de la sécurité de l’information, implique que l’organisation s’appuie sur sa stratégie pour en extraire la matière utile à la déclinaison des objectifs de sécurité. En cela, il appartient à la direction de définir ces objectifs de sécurité, en cohérence avec les objectifs stratégiques globaux.
Il est essentiel de comprendre l’importance de l’implication de la direction dans cette démarche de gouvernance. Il est également primordial de concevoir que la stratégie de sécurité n’est qu’un sous-ensemble de la stratégie globale et donc qu’elle ne se conçoit qu’en adéquation avec elle. La sécurité doit s’adapter au métier et non l’inverse.
Il est donc fondamental d’appréhender les enjeux de sécurité dans leur dimension stratégique et leurs impacts pour l’organisation. L’ancrage du système de gouvernance est stratégique ; la sécurité ne s’entend plus seulement en termes techniques et opérationnels et c’est pourquoi nous allons nous attarder sur cette dimension stratégique et ses déclinaisons. À ce titre, nous allons aborder les principes de bonne gestion, en appui des normes de système de management, de qualité...
Que suppose une bonne gouvernance ?
La gouvernance, selon la norme ISO 26000, s’entend comme le « système au moyen duquel une organisation prend et applique des décisions dans le but d’atteindre ses objectifs ». Cela a déjà été souligné, il appartient à la direction de définir ses objectifs stratégiques, et au responsable de la gouvernance de spécifier et de gérer le système adapté. Le terme de direction est à entendre dans le sens de la définition donnée par la norme ISO 9000, c’est-à-dire « personne ou groupe de personnes, qui oriente et contrôle un organisme au plus haut niveau ».
Dans le cadre de la norme ISO 27001, la direction doit détenir le pouvoir d’engager la structure sur le domaine d’application ciblé. Au travers de cette limitation - le périmètre retenu - est soulevée la nécessité de contextualiser les notions qui sont véhiculées par la norme.
Au regard de ces définitions, nous pouvons extraire des constantes que sont les objectifs et les décisions. Pour assurer la gouvernance de la sécurité, des choix doivent être faits et des décisions doivent être prises, en cohérence. Pour une bonne gouvernance, il importe que des conditions soient remplies et c’est en ce sens que nous allons aborder ce sujet.
C’est pourquoi nous allons revenir sur les notions de prise de décision, de choix organisationnels, ainsi que sur leurs valorisations et la communication qui en est faite.
1. La prise de décision
Nous avons introduit l’idée selon laquelle la direction devait faire des choix, mais est-elle la seule à en faire et surtout sur quelle base les arrête-t-elle ?
Pour répondre à...
Quels rôles pour quelles responsabilités ?
Comme cela a été précisé, l’implication de tous est vitale en matière de sécurité. C’est pourquoi il importe de bien identifier les rôles et les responsabilités de chacun des acteurs pour tout processus qui impacte la sécurité.
1. L’identification des rôles
Dès lors qu’un inventaire doit être réalisé se pose la question de son périmètre et de son niveau de granularité. En ce qui concerne l’inventaire des actions et des responsabilités liées à la sécurité, jusqu’à quel niveau de profondeur devons-nous descendre ?
Pour répondre à cette question, il convient de retenir deux vues possibles, la vue macroscopique et la vue microscopique :
-
La vue macroscopique s’entend comme celle qui permet d’avoir une description synthétique de l’entité en termes de structure avec ses divisions, ses départements, ses services. Cette vue macroscopique définit les processus métier et doit donc intégrer les composantes de sécurité relatives aux différents processus recensés.
-
La vue microscopique quant à elle permet de décomposer les processus métier en tâches plus élémentaires. Ainsi, ce niveau de détails supplémentaire participe à rendre plus juste car plus exhaustif l’inventaire des actions et des responsabilités, puisqu’il permet d’en décomposer chaque étape.
Les deux vues (macroscopique et microscopique) peuvent donc s’appuyer sur la même matière, les processus métier ; dans un cas, il s’agira de les référencer et d’y intégrer le volet sécurité...
Que prévoir en termes de ressources ?
L’adoption d’une approche ISO 27001 nécessite des ressources afin d’adresser les composantes stratégiques, tactiques et opérationnelles du projet. Pour ce faire, des moyens adaptés doivent être mobilisés, à hauteur des objectifs fixés. Ces objectifs constituent ainsi le référentiel à partir duquel les moyens nécessaires et leurs caractéristiques vont être identifiés et déterminés. En cela, la notion d’objectif est l’élément déclencheur pour définir les ressources qui doivent être déployées afin de répondre aux exigences de la norme ISO 27001 et être en adéquation avec la stratégie de sécurité définie.
S’il convient d’adapter les moyens à mobiliser en fonction des objectifs fixés, la réciproque est également à considérer. En effet, selon les moyens dont on dispose, les objectifs peuvent nécessiter un ajustement ; l’essentiel étant d’assurer une cohérence entre la couverture des objectifs d’une part, et le niveau d’investissement consenti d’autre part. Échopper un bateau qui sombre à la petite cuillère s’avère une opération longue et infructueuse.
On pourra réviser l’objectif - est-il opportun d’échopper un bateau qui sombre ? La direction peut-elle conserver l’espoir de rétablir un bateau qui sombre ? Ne devrait-elle pas plutôt chercher à sauver ce qui, à l’intérieur du bateau, peut l’être ? Et adapter les moyens en conséquence - envisager l’acquisition de pompes, de chaloupes, d’un navire de sauvetage ?...
Quel serait un contexte favorable ?
L’entité est inscrite dans un environnement qu’elle subit et sur lequel elle ne détient pas de pouvoirs. Toutefois, elle possède des éléments tangibles qui peuvent l’aider à développer un contexte favorable pour sa stratégie de sécurité.
La maturité métier des acteurs
Un des atouts majeurs que peut posséder une entité est la connaissance de son marché, de son domaine d’activité. Cette connaissance peut l’aider à anticiper, à innover, à consolider sa position, à satisfaire ses clients de manière optimale.
Ainsi, par une meilleure anticipation métier, l’entité peut intégrer la sécurité au plus tôt dans ses projets. Ce principe est un facteur de réussite pour la sécurité.
La maturité technique des acteurs
Dans le domaine de la sécurité de l’information, il est essentiel que les décisions et les choix techniques s’appuient sur de l’expertise technique.
La viabilité de l’entreprise
L’allocation des ressources est essentielle à la satisfaction de la stratégie de sécurité. Il est en effet primordial que l’entité puisse mettre en œuvre ses plans d’action. Pour ce faire, elle doit être pérenne, tant financièrement qu’en maintien des compétences.