Transcription of Sécurité de l’information : DEFINIR ET ORGANISER …
1 Auteur : Lionel GUILLET Expert en Management de la S curit de l Information Copyright BCP-Expert f vrier 2012 1 S curit de l information : DEFINIR ET ORGANISER LES ROLES ET LES RESPONSABILITES Qui fait quoi en mati re de S curit de l'Information ? Tout commence par une bonne organisation, une organisation qui ne s'accommode pas des confusions et des ambigu t s de responsabilit s et du pilotage vue. Cette "v rit " g n rale s'applique selon des modalit s particuli res la gestion de la S curit de l'Information, avec l'approche sp cifique que celle-ci exige. et le pr sent article n'a pas d'autre ambition que de vous proposer quelques l ments, partir d'une analyse et d'un retour d'exp rience personnels, et de susciter vos r actions et vos commentaires sur le sujet.
2 En effet, une dissertation sur l'organisation et le management de la S curit de l'Information m rite d' tre compl t e, ou plut t d' tre enrichie, de l'apport de connaissances et d'analyses tierces. La d finition et l'organisation des responsabilit s en mati re de S curit de l'Information constituent le socle indispensable d'une gestion efficiente et p renne C'est une des actions fondatrices du Syst me de Management de la S curit de l'Information ( ) mettre en place pour garantir le pilotage et le management de la d marche comme nous l' voquons dans l'article consacr au sujet. (Pour inscrire le PCA dans la dur e - Piloter la s curit de l'information de l'entreprise) IL S'AGIT, EN EFFET, DE DEFINIR L'ORGANISATION QUI DOIT PERMETTRE L'APPROCHE GLOBALE STRUCTUREE DE L'ENSEMBLE DES GESTIONS INDISPENSABLES A L'EVALUATION ET A LA PROGRESSION CONTINUE DE LA SECURITE DE L'INFORMATION DANS TOUTES LES ACTIVITES DE L'ENTREPRISE.
3 CETTE ACTION EST STRATEGIQUE. ELLE APPARTIENT AUX STRUCTURES D'ADMINISTRATION ET DE DIRECTION DE L'ENTREPRISE QUI DISPOSENT POUR CELA D'UN CADRE NORMATIF A ADAPTER A LEUR CONTEXTE. En effet, engagement au plus haut niveau, attribution des responsabilit s, coordination et valuation des actions .. les normes ISO 27001 et 27002 font valoir les objectifs et les mesures retenir pour d finir un mod le de gouvernance de la s curit , mais, sans en pr coniser un particuli rement. C'est logique, IL S'AGIT, NON DE REMETTRE EN CAUSE L'ORGANISATION EXISTANTE, MAIS, DE S'APPUYER SUR ELLE POUR REPONDRE AUX EXIGENCES PARTICULIERES DE LA DEMARCHE, A SA TRANSVERSALITE MULTIDISCIPLINAIRE.
4 S curit de l information : DEFINIR ET ORGANISER LES ROLES ET LES RESPONSABILITES Copyright BCP-Expert Mai 2012 2 La S curit de l'Information, ce n'est pas l'affaire d'un homme seul C'est L'ERREUR viter, confier la responsabilit de "faire de la s curit " une seule personne. Au plan strat gique et d cisionnel comme au niveau fonctionnel et op rationnel, la S curit de l'Information doit f d rer toutes les responsabilit s, toutes les comp tences de l'entreprise en devoir d'en conna tre par r f rence la l gislation et son champ d'application. Et c'est l qu'il est imp ratif d'ordonner cette pluralit des intervenants sous peine de voir la d marche se perdre dans les sables.
5 Pour cela ? Rien d'original. Instances de contr le et de d cision, ma trise d'ouvrage et ma trise d' uvre font parfaitement l'affaire. Et c'est l'organisation existante qui sert la d signation des acteurs dans le respect de leurs responsabilit s respectives. Une instance de d cision dirigeante Le pilotage doit tre assur par la direction de l'entreprise compte tenu des enjeux et du champ couvert par la d marche. Ainsi, un comit compos de l'ensemble des directeurs est naturellement instance d'arbitrage et de d cision POUR : Int grer les probl matiques de s curit dans la gouvernance g n rale de l'entreprise D terminer la strat gie de l'Entreprise en mati re de S curit de l'Information D cider des plans d'actions entreprendre sur proposition de la ma trise d'ouvrage d l gu e Evaluer les r sultats des plans d'action mis en uvre et le niveau de s curit de l'entreprise par le biais d'indicateurs sp cifiques Rendre compte aux administrateurs de la gestion des risques, le cas ch ant Une collaboration troitement compl mentaire entre une Ma trise d'ouvrage et une Ma trise d' uvre Sur le plan fonctionnel et op rationnel.
6 Les gestions reposent sur le travail en parfaite collaboration d'une ma trise d'ouvrage et d'une ma trise d' uvre plurielle. Sur d l gation, formelle et publi e, du directeur g n ral, la (les) personne(s) d sign e(s) LA MAITRISE D'OUVRAGE S curit de l'Information A (ont) toute LEGITIMITE POUR : Garantir le respect des objectifs de s curit de l'entreprise Assurer l'information et la sensibilisation des partenaires et des utilisateurs de son syst me d'information Identifier les risques et les vuln rabilit s du syst me d'information Coordonner et valuer la mise en uvre des mesures et des actions de s curit Accompagner les ma trises d' uvre dans la prise en compte des r f rentiels de S curit Conseiller et alerter la direction de l'entreprise Proc der une veille informationnelle sp cifique S curit de l information.
7 DEFINIR ET ORGANISER LES ROLES ET LES RESPONSABILITES Copyright BCP-Expert Mai 2012 3 Quant LA MAITRISE D' UVRE, elle A POUR ROLE DE : D finir, formaliser, mettre en uvre et maintenir les dispositions et solutions de s curit de l'information Participer la ma trise des risques op rationnels des activit s plac es sous sa responsabilit Assister la ma trise d'ouvrage dans l'expression des besoins de s curit . Mais, la ma trise d' uvre n'est pas une, elle est multiple, nous l'avons d j soulign plus haut. Elle est compos e de l'ensemble des Directions et des Services de l'entreprise acteurs la S curit de l'Information, dans les 11 domaines limitativement num r s la norme ISO 27001, depuis la s curit des ressources humaines jusqu'aux s curit s juridiques, en passant par les s curit s physiques, la continuit de service, les s curit s informatiques et autres.
8 (voir l'annexe l'article "Piloter et manager la S curit de l'Information). Une Instance de contr le P riodiquement, au moins une fois par an, il convient de proc der l' valuation du niveau de s curit de l'entreprise et de l'efficacit des mesures et des actions mises en uvre pour la maintenir et l'am liorer. Solution interne ou externe, mais, il faut donc identifier galement, dans l'organisation, la structure, la (les) personne(s) habilit e(s) exercer cette valuation. S'il existe un contr le interne dans l'entreprise, comme la l gislation le pr voit pour certaines au nom de la s curit financi re et de la certification des comptes, celui-ci, charg de g rer la pr vention des risques, peut int grer le suivi des risques attach s la S curit de l'Information dans sa mission originelle.
9 Une identification clairement tablie des responsabilit s pour viter les conflits d'int r ts et la confusion des interventions Donc, la ma trise d'ouvrage exprime les besoins de s curit et les ma trises d' uvre con oivent et r alisent les actions. Cette distinction doit tre clairement tablie, non pas pour s parer, mais pour viter les confusions de responsabilit s et les conflits d'int r ts et afin de garantir la compl mentarit des interventions, une compl mentarit indispensable dans cette d marche parfaitement transversale et multidisciplinaire. Aussi, est-il souhaitable que la ma trise d'ouvrage et tous les partenaires la ma trise d' uvre S curit de l'Information se retrouvent r guli rement pour favoriser leurs changes et la bonne coordination des interventions.
10 S curit de l information : DEFINIR ET ORGANISER LES ROLES ET LES RESPONSABILITES Copyright BCP-Expert Mai 2012 4 Une organisation qui peut associer qualit & s curit avec profit L'organisation mise en place doit r pondre, il faut le souligner, aux besoins d'une d marche dynamique d'am lioration continue dont l'objectif est d'atteindre un syst me conforme des objectifs de s curit pr alablement d finis. C'EST UN PROCESSUS QUI PEUT PARFAITEMENT S'ASSOCIER A UNE APPROCHE QUALITE, CAR ETROITEMENT COMPLEMENTAIRE DE CELLE-CI SANS POUVOIR ETRE CONFONDU AVEC ELLE, CAR BASE SUR UN REFERENTIEL DISTINCT. Il n'en demeure pas moins que, dans l'hypoth se o l'entreprise s'engage, ou est d j engag e, dans une approche qualit , les responsables d'activit s, d sign s ce titre, peuvent tre galement ma trise d' uvre la S curit de l'Information dans leur domaine de comp tences.
