Les priorités des responsables sécurité en 2008, selon les cabinets d'analystes anglo-saxons
Les cabinets d'analystes Gartner et Forrester Research ont étudié les enjeux de la fonction sécurité des systèmes d'information pour 2008. Leurs conclusions : le responsable sécurité doit se focaliser sur les priorités métiers et faire en sorte que chacun se sente mobilisé pour la sécurité. Les cabinets d'analystes anglo-saxons Gartner et Forrester Research se sont penchés avec attention sur les priorités et le positionnement des responsables sécurité (RSSI) dans les entreprises pour 2008. Au final, on observe de nombreuses convergences entre leurs conclusions. Se concentrer sur les objectifs métiers Un impératif selon les deux cabinets : le responsable sécurité doit se concentrer davantage sur les objectifs métiers critiques de l'entreprise. Selon Gartner, le RSSI doit établir de solides relations avec la direction générale, avec les responsables métiers et les autres responsables clés afin que les initiatives en matière de sécurité soient alignées avec les besoins réels du métier de l'entreprise. Même vision chez Forrester Research qui insiste pour que le responsable sécurité se rapproche des métiers de l'entreprise. Pour cela, il faut passer à une vision du haut vers le bas plutôt que du bas vers le haut, traditionnelle. « Il faut uniquement choisir les initiatives de sécurité qui s'alignent sur les besoins métiers prioritaires et les contrôler, insiste le cabinet. Sensibiliser toute l'entreprise Autre nécessité : sensibiliser à la sécurité. Pour Gartner, le RSSI doit sensibiliser de façon efficace toute l'entreprise sur la sécurité et gérer le relationnel. La sécurité n'est pas de la seule responsabilité des équipes informatiques et télécoms. Pour Forrester, cette sensibilisation doit être ...... adaptée au public dans l'entreprise, et ne pas être systématisée de manière identique sans tenir compte des risques spécifiques à chaque métier. Responsabiliser les métiers tout en étant à leur service Par ailleurs, Gartner avance qu'il faut faire en sorte que les « propriétaires » de l'information aient la responsabilité ultime de sa sécurité, même si les informaticiens ou les responsables de la sécurité se voient confier les actions de sécurisation. Forrester souligne qu'il ne suffit pas d'affecter les bonnes ressources alignées avec les besoins métiers, il faut aussi responsabiliser toute l'organisation en ce qui concerne l'information. Forrester insiste sur l'intérêt des comités de pilotage. Ceux-ci doivent être le lieu où les initiatives en matière de sécurité sont prioritisées et validées par les équipes métiers. Le cabinet montre qu'il peut être acceptable de travailler avec un niveau de sécurité inférieur, si cela est accepté de façon consciente par les activités métiers. On passe ainsi d'une sécurité « tout ou rien », à une sécurisation liée au contexte de l'information. Inutile en effet de dépenser 100 € pour sécuriser une information qui coûte 90 €. De plus, il est nécessaire d'encourager un état d'esprit « service ». De plus en plus d'organisations utilisent ITIL comme cadre pour la gestion des risques. Il faut alors passer de l'état d'esprit « Les métiers ne comprennent rien à la sécurité », à « Le premier objectif des équipes sécurité est de porter les métiers ». En résumé, les RSSI doivent passer de l'information aux responsables métiers, plutôt que de prendre des décisions à leur place en ce qui concerne les risques acceptables. Gérer le relationnel est payant Gérer le relationnel est stratégique. Pour le Gartner, le RSSI doit communiquer avec toutes les parties prenantes de l'entreprise au sujet de la sécurité afin de leur fournir des moyens de protéger l'information. De même Forrester indique que le RSSI doit établir ...... de solides relations avec les Ressources Humaines, la sécurité physique, et les équipes informatiques, pour au final, éventuellement les influencer lors de leurs prises de décision. De plus, il faut aussi sortir de la bulle sécurité. Par exemple les efforts des experts en Knowledge Management peuvent servir aux équipes en sécurité lorsqu'il s'agit de définir les degrés de protection des données. D'un manager, qui décide seul, le responsable sécurité doit passer à un rôle de fabricant de consensus. Les responsables sécurité ont l'habitude de décider tout seul. Ils doivent désormais être avalisés par les responsables métiers (finances, ressources humaines, juridique, ...) lorsqu'ils décident de mettre en place des sécurités. Mesurer les apports de la sécurité via la gestion des risques Les tableaux de bord de la sécurité demeurent un défi. Le cabinet Gartner donne des pistes sur la manière dont il faut mesurer l'apport de la sécurité à l'entreprise. Des métriques doivent informer sur l'activité des équipes de sécurité. Pour cela, il faut partir des risques définis clairement, puis établir les contrôles pour atteindre ces objectifs de gestion des risques. Les métriques doivent être reliées à l'activité de l'entreprise, afin que les métiers comprennent ce qu'ils obtiennent en regard de l'argent dépensé. Ceci dit, il reste difficile de suivre des métriques, car la sécurité est un processus et change fréquemment. De même, Forrester insiste sur la nécessité de définir des métriques pour la gouvernance de la sécurité, et la responsabilisation. Il faut également mesurer l'efficacité des équipes de sécurité. Forrester recommande de passer d'une sécurité réactive à une gestion proactive des risques sur l'information. La gestion des risques doit être intégrée dans l'organisation de la sécurité afin d'évaluer les bénéfices d'une action avant de réagir à des menaces. "Les professionnels de la sécurité adorent parler de gestion des risques, en fait cela aboutit à associer des technologies de sécurité et des règles de conformité. Or la gestion du risque n'a pas grand-chose à voir avec la technologie. Il s'agit d'un processus qui mesure et effectue du reporting sur le niveau de risque sur l'information, avertit Forrester. Enfin, il faut passer d'une conformité par rapport aux réglementations à une conformité par rapport à une politique globale. Cette politique englobe les politiques métiers, d'autres standards de sécurité, réglementaires ou légaux. Du pragmatisme lors de la mise en oeuvre d'outils Côté mise en oeuvre, Gartner rappelle que beaucoup des technologies nécessaires afin de sécuriser les nouveaux environnements virtualisés et de services, n'existent pas encore ou sont souvent immatures et incomplètes. Forrester Research indique qu'il faut éviter de reproduire les meilleures pratiques appliquées par ses pairs et qu'il vaut mieux adapter les contrôles de sécurité au contexte métier de l'entreprise. Dans la foulée, la sécurité doit être intégrée dans les applications métiers dès l'origine. Sources : Forrester Research : 2008 CISO Agenda : Embrace Change (28 mars 2008) Forrester Research : 2008 CISO Priorities : The Right Objective But The Wrong Focus (20 mars 2008) Gartner Research : Top Five Issues and Research Agenda, 2008 : the Chief Information Security Officer (5 mars 2008)