La majorité des RSSI disposent d’un outillage limité pour mener les activités de gouvernance SSI : dans la plupart des cas, seuls des outils Excel sont à disposition pour gérer séparément les analyses de risques, les contrôles permanents ou encore les plans d’actions issus des audits.
Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?
Des outils aux fonctionnalités très étendues
Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.
D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :
Une polyvalence capable de répondre aux besoins du RSSI
Chaque module des outils de GRC peut être utilisé dans une logique SSI.
- La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
- Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
- Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.
De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).
Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.
De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.
Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place
Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :
- La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
- Le lotissement doit être progressif : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
- La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit, Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.
Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur un cadre unique.