Quel est le niveau de maturité de votre gouvernance SSI ?

Par Maxime de Jabrun.

Evaluez en 10 minutes la maturité de la gouvernance de votre macro-processus Sécurité

Dans un précédent billet (visa pour la performance opérationnelle de la sécurité), nous avons vu que l’excellence opérationnelle est assez simple à mettre en oeuvre pour un processus Sécurité. Cependant, adopter une démarche globale d’excellence opérationnelle et de création de valeur prend du temps, et nécessite de franchir progressivement 5 niveaux de maturité. A la lecture de ce billet, vous pourrez évaluer votre posture actuelle sur la gouvernance SSI et estimer, en regard de la culture et du contexte de votre organisation, les étapes et échéances clés pour progresser.

Ces 5 niveaux de maturité s’appliquent à l’ensemble des processus sécurité que nous avons présentés dans le billet sur le jeu des 11 familles. Illustrons notre propos aujourd’hui sur la gouvernance de la filière sécurité.

Avant que les organisations prennent conscience de l’importance de se protéger contre les menaces de sécurité, 2 modes de « gouvernance » sont observés. L’étape initiale se traduit par le déploiement de rustines en réaction aux incidents majeurs… quand ils sont détectés ! Niveau de maturité proche de l’héroïsme… « en mode pompier » pour évoquer l’un de nos clients.

A force d’incidents, une approche plus répétable est observée et se concentre essentiellement sur le déploiement d’outils standard de sécurité. Un antivirus sur les postes de travail, un firewall voire un IDS sur la connexion Internet, par exemple. La sécurité est une affaire de techniciens à ce stade !

Diagramme Maturité

Puis les organisations structurent leur réflexion pour aborder la sécurité de leurs informations. On peut distinguer trois étapes clés dans la prise de maturité d’une organisation sécurité :

  • La première étape – niveau de maturité défini : la définition de règles du jeu partagées dans l’entreprise.
    En réalité, il s’agit de conformité à des référentiels, le plus souvent standards techniques (NIST, NSA.) ou bonnes pratiques (ISO 27002) du marché adoptés globalement avec peu de contextualisation métier.
  • La seconde – niveau de maturité managé : le management par les risques.
    Elle vise à aligner les dispositifs sécurité sur les besoins des lignes métiers, en sélectionnant et adaptant les solutions et bonnes pratiques en fonction des risques que les métiers ne veulent pas prendre. Elle nécessite une appropriation de la propriété des risques sécurité par les métiers et la clarification des responsabilité des experts en risque et des gestionnaires des traitements de ces risques (fournisseurs de production, TMA, assurance…).
  • La dernière  – niveau de maturité optimisé : l’excellence opérationnelle de chacun des processus sécurité.
    Elle vise à déployer une culture de l’optimisation  des processus sécurité pour leurs opérateurs et clients (les métiers). Une gestion des risques plus efficiente. L’excellence opérationnelle passe également par une  connaissance et une appropriation de la stratégie d’entreprise comme input des processus. Les instances de gouvernance Sécurité doivent consacrer une partie de leur temps à la l’identification des drivers métier et à l’innovation pour faciliter la création de valeur pour l’entreprise.

La plupart des grandes entreprises ont déjà franchi le niveau « Défini » et transforment leur approche de la sécurité pour viser une gestion des risques industrielle. La prochaine étape sera celle de l’optimisation et les entreprise « trend setter » sécurité du marché s’intéressent concrètement à la question aujourd’hui en se posant les questions suivantes :
– Quelle offre de services sécurité proposer ? Comment contribuer au plan industriel de mon entreprise ?
– Comment déployer une culture de la performance avec les acteurs de ma filière ? Avec nos contributeurs ?
– Quelle opportunité pour monter un centre de service Sécurité ? Lors de la définition de votre objectif de maturité et de vos cibles intermédiaires, sachez que tout franchissement de plus de 2 niveaux de maturité requiert une rupture dans l’approche qui dépasse le modèle PDCA auquel nous sommes habitués. Il faudra plutôt envisager une approche Lean Six Sigma pour accélérer et sécuriser le plan de progrès.