La gestion de risques englobe l’ensemble des actions mises en œuvre pour répondre à deux questions fondamentales :
- Quels sont mes risques et parmi eux quels sont mes risques les plus critiques ?
- Sont-ils maîtrisés et dans le cas contraire quelle(s) décision(s) prendre ?
Au sein de l’entreprise, les acteurs à même d’apporter des réponses à ces questions sont nombreux (Risk Manager, Responsable des Risques Opérationnels, auditeurs…). S’agissant des risques de sécurité, au cœur de notre sujet, retenons, entre autres, la Direction des risques, le contrôle interne, l’audit interne et bien sûr le RSSI et ses équipes.
Si leur implication dans la gestion des risques SSI est évidente, les liens qui les unissent le sont moins. Apporter des réponses pertinentes aux deux questions ci-dessus passe donc nécessairement par la clarification des relations qui les lient – ou qui devraient les lier.
Quelles relations mettre en œuvre entre les différents acteurs de la gestion des risques SSI ?
À défaut d’organisation commune à toutes les entreprises, nous pouvons schématiser ainsi les principaux rôles de chacun de ces acteurs, ainsi que leurs interactions.
Pour gérer les risques de manière efficace et efficiente, il est nécessaire que les acteurs concernés partagent leurs informations.
Cette exigence de partage de l’information n’est pas toujours effective
Les différentes contributions à la gestion des risques SSI sont malheureusement peu souvent coordonnées voire parfois ignorées. Trois situations, trois questions reviennent en permanence, illustrant ce manque de communication :
- Quels contrôles relatifs à la sécurité des SI sont réalisés par le contrôle interne ? La fonction contrôle interne dispose-t-elle de l’expertise pour mener des contrôles de sécurité ?
- La politique de sécurité fait-elle partie du référentiel de contrôle ? Les contrôles réalisés permettent-ils d’en mesurer la mise en œuvre ?
- Les démarches, méthodes, référentiels, échelles…utilisés pour gérer les risques sont-ils partagés
Mettre en œuvre des actions concrètes de rapprochement
Quelles solutions permettront un rapprochement ? À cette question il n’y a évidemment pas de réponse toute faite, pas d’organisation unique adaptable partout. Il existe néanmoins quelques bonnes pratiques qui vont faciliter l’atteinte de cet objectif.
1. Évaluer les risques à couvrir ainsi que les contrôles à réaliser en s’appuyant sur la même échelle de classification
Facteur de rapprochement essentiel, une échelle commune permet notamment de prioriser les contrôles à réaliser en se focalisant sur ceux liés aux situations les plus à risques.
Sans ce partage, il est très difficile d’obtenir une vision consolidée des risques. Une fois cette échelle commune établie, il est alors possible de mettre en œuvre les points suivants.
2. Travailler sur un catalogue de risque partagé
Tous les acteurs doivent pouvoir s’appuyer sur un catalogue commun de risques. Le contrôle interne pourra y ajouter les résultats des contrôles réalisés afin de mettre à jour le niveau de maîtrise des risques correspondants. Le RSSI pourra y contribuer en renseignant les risques dont il est le porteur et en intégrant notamment les vulnérabilités pesant sur les actifs SI.
3. Gérer conjointement la relation avec l’ensemble des acteurs métier et SI
Les Directions métiers comme les experts du SI sont aujourd’hui sur-sollicités par l’ensemble des acteurs de la gestion des risques. Aboutir à une gestion des risques plus efficiente passe donc nécessairement par l’harmonisation des différentes démarches. Harmoniser, ce n’est pas fusionner (chacun garde ses spécificités) mais se doter d’un discours, d’un calendrier, d’un outillage le plus homogène possible afin de présenter aux acteurs métier une démarche cohérente et optimisée.
4. Clarifier les périmètres de chacun et acter la délégation de responsabilité les cas échéant
Le domaine de la sécurité des SI est un bon exemple de périmètre au sein duquel la clarification des responsabilités de chacun est souvent nécessaire. Prenons l’exemple des contrôles de niveau 2 touchant la SSI. Ceux-ci peuvent être gérés par la fonction contrôle interne si elle dispose de l’expertise ad-hoc mais ils sont régulièrement suivis par le RSSI. Dès lors l’enjeu est de bien définir les actions de contrôle portées par le RSSI en délégation du contrôle interne pour la spécificité du domaine SSI.
Améliorer l’efficacité de sa gestion des risques est d’abord un enjeu de Gouvernance
Nous l’avons vu, au-delà des questions de méthodologie et d’outillage, faciliter et améliorer sa gestion des risques passe essentiellement par une plus grande communication entre les différents acteurs. Cet objectif ne vise pas à gommer leurs spécificités mais à faire en sorte que les résultats des travaux des uns puissent servir à mieux cibler et prioriser les travaux des autres.
La Direction des risques a dans ce schéma un rôle essentiel dans la mesure où elle est la mieux placée pour orchestrer les actions des uns et des autres. Son positionnement global (vision de l’ensemble des risques de l’entreprise) doit lui permettre d’être le facilitateur