Synthèse de la conférence donnée aux Assises de la Sécurité

Par Maxime de Jabrun.

LE RISQUE : UN BUSINESS MODEL POUR LE RSSI ?

5 RECETTES POUR REUSSIR PAR LES RISQUES

Des analyses de risques pléthoriques, incomplètes, incohérentes, mal ciblées et non utilisées…

Qui travaille sur le risque dans votre organisation ? Quels en sont les enjeux ?

Quelles synergies existent entre la cartographie des risques et l’accompagnement sécurité des projets ?

Quels leviers peuvent être actionnés pour optimiser la pertinence des analyses ?

Nous avons construit une démarche rapide et fiable d’analyse des risques, issue de nos retours d’expérience dans les métiers de l’Oil & Gas, des Infrastructures Vitales (de transport et d’énergie), de la R&D et de la Finance.

Elle permet de réussir son approche risque et de donner de nouvelles perspectives à nos clients. Elle s’articule autour de cinq recettes que nous vous présentons ici pour vous mettre l’eau à la bouche.

Pourquoi sécuriser ?

Recette n°1 : Le risque comme clé de voûte du financement de la SSI

Les analyses de risque crédibilisent les demandes de budget, en  présentant des plans d’action priorisés permettant de réaliser des investissements adaptés par rapport aux risques encourus et d’identifier des pistes d’amélioration pour la sécurité du Système d’Information.

Par ailleurs, une bonne compréhension des risques permet de déterminer s’il est préférable de réduire le risque en mettant en œuvre des mesures de sécurité, ou de transférer le risque, par exemple en souscrivant une assurance pour en limiter les conséquences financières.

Quel dialogue avec et entre les Métiers et l’IT ?

Recette n°2 : Distinguer pour mieux challenger

Les collaborateurs Métiers et IT ont des sensibilités et des compréhensions du risque différentes. L’enjeu pour le RSSI est de concilier les deux mondes par l’établissement de notions communes. Utiliser la technique de l’interview focalisée permet de moduler le discours en fonction de la maturité des interlocuteurs. Grâce à ces techniques, l’entretien se concentre sur les problématiques Métiers pour une meilleure compréhension des écarts entre les Métiers et l’IT, et une réconciliation des deux visions.

Analyse des risques : patrimoine ou flux ?

Recette n°3 : Imbriquer cartographie des risques et analyse projet

La réalisation d’une cartographie du patrimoine apporte une vision macroscopique permettant de définir les orientations stratégiques et les plans d’action globaux.

Les analyses de sécurité dans les projets, de leur côté, permettent de suivre la sécurité au quotidien. En consolidant les deux approches dans un seul référentiel, nous obtenons alors une cartographie globale qui tient compte des nouveaux risques identifiés via les projets et les évolutions du SI.

Avec qui travailler ?  Quelles parties prenantes ?

Recette n°4 : Visite guidée de l’écosystème de la gestion des risques

Un des objectifs majeurs de la phase de préparation de la démarche est d’identifier les sachants, notamment sur les risques transverses, et de comprendre les périmètres de responsabilité de chacun. Seul un soutien fort de la Direction permet au RSSI de rapprocher les visions entre ces différents acteurs et d’assurer une cohérence transverse. Cette approche permet une confrontation des analyses, un alignement des plans d’action, et une réintégration des risques de la sécurité du Système d’Information dans les risques Métiers.

Quelle industrialisation ?

Recette n°5 : D’un pôle d’expertise vers un centre de service

S’organiser en pôle d’expertise permet de mutualiser les compétences et de développer l’agilité, la cohérence et l’expertise. Organiser dans un second temps ce pôle d’expertise en centre de services externalisé permet de fournir une expertise plus pointue, de maintenir les compétences nécessaires et de faciliter la flexibilité sur les ressources. Le succès de déploiement d’un centre de services pour la sécurité du SI passe par une phase de transition de qualité, articulée autour d’établissement de priorités, d’anticipation, de flexibilité et de communication. Ceci permet immédiatement de pérenniser tous les efforts fournis jusqu’alors.

En conclusion, réaliser une approche par les risques est structurant et difficile, mais elle permet de repositionner le RSSI comme un acteur de la stratégie d’entreprise, visible, et non plus confiné dans la vision d’austérité qui peut le caractériser habituellement.

Pour en savoir plus, vous pouvez consulter le support de notre présentation aux Assises de la Sécurité 2012.