Le jeu des 11 familles

Dans notre métier de consultant, nous constatons souvent qu’une démarche qui fonctionne dans un domaine peut être transposée à un autre. Nos experts sécurité et supply chain ont ainsi développé une démarche d’excellence opérationnelle de la sécurité. Elle s’appuie sur un socle formalisé de processus sécurité et lui applique les principes d’amélioration de la performance opérationnelle.

Le résultat, c’est OPIS : Operational Performance of Information Security.

Notre objectif est d’appréhender la maîtrise des risques sécurité comme un levier de compétitivité pour l’entreprise. Pour cela, le socle d’analyse d’OPIS s’appuie sur onze familles de processus sécurité qui regroupent une soixantaine de processus et qui couvrent ainsi la globalité de l’activité sécurité d’une entreprise.

Mettre en oeuvre la démarche OPIS, c’est donc agir sur ces 11 familles de processus, des familles interagissant entre elles et participant chacune à la performance opérationnelle de la sécurité de l’information.

À chaque famille correspond une démarche d’amélioration continue déterminée en fonction de ses facteurs de performance et des objectifs poursuivis par les DSI. Une approche performance sur mesure comme l’illustrent les exemples suivants :

Analyse des risques sécurité en banque
Famille : Expertise et conseil sécurité
Processus : Analyse de risques sécurité
Gains escomptés : réactivité, cohérence, réutilisabilité

  • Démarche :
    – uniformisation des approches (à l’aide de l’ISO 27005) pour garantir la cohérence
    – industrialisation et automatisation de certaines étapes en partant du catalogue de scenarii et des échelles EBIOS pour améliorer la réactivité et faciliter la réutilisabilité
    – outsourcing de l’étude des vulnérabilités dans la démarche d’analyse de risques pour renforcer la réactivité
  • Indicateurs types de suivi du processus :
    – Couverture = Nb projets suivis / Nb projets au portefeuille
    – Disponibilité = Nb projets suivis / Nb projets devant être suivis (issus d’une grille de sensibilité)
    – Performance = Nb avis sécurité mis en oeuvre / Nb avis sécurité émis

Gestion des habilitations en assurance
Famille : Identités et accès
Processus : Gestion des profils
Gains escomptés : alignement, cohérence, réactivité, coût

  • Démarche :
    – Workshop avec les métiers pour définir les profils
    – Refonte de la politique d’habilitation pour renforcer la cohérence des règles
    – Centralisation des informations pour améliorer la cohérence des droits
    – Définition d’un outil de gestion automatique des demandes et de provisionning pour réduire les coûts de fonctionnement du processus et augmenter sa réactivité
  • Indicateurs types de suivi du processus :
    – Couverture = Nb applications refondues / Nb total d’applications
    – Disponibilité = Nb de demandes gérées dans les temps impartis / Nb total de demandes
    – Performance = Nb de droits constatés non conformes à la politique / Nb total de droits

Pour plus d’information, télécharger la synthèse du Livre Blanc OPIS