Le “risk manager” doit-il s’emparer de la cyberdéfense ?

Le “risk manager” doit-il s’emparer de la cyberdéfense ?

Alors que l’occurrence des risques s’accroît et que même les plus improbables se concrétisent (épidémies, crue, attentats, …), il peut sembler déplacé de poser la question de la cybersécurité. En quoi le risk manager devrait-il être plus sensible aux risques portés par les systèmes d'information qu'aux autres ? Après tout, n’est-ce pas là un sujet déjà traité par la Direction des systèmes d'information ?

Par Stéphane Dubreuil et Jérôme Saiz, membres du Cercle européen de la sécurité et des systèmes d’information (*)

 

Tenter de répondre à la question de l’implication du risk manager (1) dans la sécurité du système d’information conduit donc à poser deux nouvelles questions :

  • Quelle est la part du système d'information dans les processus métier de l'entreprise ?

  • Quelle est la place du système d'information dans les systèmes de protection de l'entreprise ?

 

Quelle est la part du système d'information dans les processus métier de l'entreprise ?

Il ne se passe plus une semaine sans que la presse ne se fasse l’écho des défis posés par la numérisation des entreprises, ou qu’elle ne présage un destin funeste aux PME qui ne « digitaliseront » pas leur processus. La transformation numérique en est presque devenue un buzzword. Pour autant, sans tomber dans l’effet de mode et les anglicismes vendeurs, force est de constater que pour des raisons financières, RH ou de productivité, l’ensemble des directions métiers de nos entreprises tendent à dématérialiser leurs procédures.

Mais ce mouvement de fond entamé il y a un peu plus d’une décennie ne repose pas toujours sur des technologies matures, voire éprouvées. Il s’appuie d’ailleurs bien souvent sur des solutions développées et intégrées en dehors des cadres techniques et organisationnels de la Direction des systèmes d’information (DSI). Dans les cas les plus extrêmes, on parle « d’informatique fantôme » (Shadow IT) pour désigner des solutions logicielles, et parfois matérielles, acquises directement par les individus ou les métiers en court-circuitant les processus jugés trop contraignants et pas assez agiles de la DSI.

Les technologies du cloud computing (en particulier ses déclinaisons en “Software as a Service” et “Platform as a Service”) sont particulièrement représentatives de ce phénomène.

Or, il arrive que les procédures – nouvellement – dématérialisées et confiées à ces technologies en dehors de tout cadre organisationnel représentent parfois, voire souvent, une fonction vitale de l’entreprise.

Nous voici donc dans un mouvement technologique “adulescent” non encadré par la gestion des risques IT, portant néanmoins des risques sur des métiers vitaux pour l’entreprise. Si le risk manager ne sait, ou ne peut, avec les responsables métiers, analyser les risques portés par la numérisation de ces procédures de l’entreprise, comment peut-il alors assurer le bon niveau d’information auprès de la direction de l’entreprise ?

Voilà pour le constat, que de nombreuses entreprises peuvent d’ores et déjà faire. Comment, alors, y répondre ? Doit-on former les risks managers à la sécurité des systèmes d’information afin d’être en mesure de faire des analyses de risque sur le périmètre des métiers ? Doit-on les former aux marchés IT (afin de s’assurer que les mesures contractuelles pour couvrir les risques sont bien prises en comptes) ? Devrait-on aller jusqu’à les former à la programmation informatique pour se donner certaines garanties sur les productions “d’initiative locale”, que les producteurs appelleront agiles ou DevOps, mais dans lesquelles la DSI n’y voit toujours que du “Shadow IT” ? Devraient-ils également être maître d’ouvrage ou experts en informatique industrielle ? Car c’est aussi un périmètre de plus en plus important pour le management des risques.

Cela fait beaucoup de qualités à réunir au sein d’une même fonction…

 

Quelle est la place du système d'information dans les systèmes de sûreté de l'entreprise ?

La sûreté des entreprises et la sécurité des systèmes d’information sont deux silos qui bien souvent se sont développés de manière distincte dans l’entreprise. À son arrivée, d’abord timide et expérimental, l’outil informatique n’a évidemment pas été identifié par la fonction sûreté. Celle-ci était bien plus occupée à traiter des menaces concrètes telles que le vol de matériel, les dégradations ou les intrusions au sein de l’entreprise. Puisque l’informatique ne présentait pas une menace et qu’elle était une affaire de spécialiste, le sujet a donc été confié à des spécialistes.

Et lorsque bien plus tard il a fallu se rendre à l’évidence que l’outil informatique était devenu bien plus qu’une curiosité, sa protection a naturellement été confiée à des spécialistes, car cela restait après tout toujours… une affaire de spécialiste ! Et c’est ainsi que l’on a entretenu une séparation artificielle entre la sécurité des systèmes d’information et la sûreté, par passif historique plutôt que par choix.

Mais à l’heure de la transformation numérique de l’entreprise, cette distinction a de plus en plus de mal à tenir. Ainsi, désormais, l’identification et le suivi des incidents de sûreté reposent de façon croissante sur les technologies de l’information.

On pense bien entendu immédiatement à toute la gestion technique bâtimentaire (GTB) : la vidéoprotection, les systèmes incendie/climatisation, la gestion des accès… pilotée aujourd’hui de façon centralisée grâce à un système d’information – pas toujours – dédié.

Mais au-delà, les systèmes d’information industriels participant à la protection du métier sont en réalité omniprésents, et en particulier dans la sûreté de fonctionnement : il suffit de penser oléoduc, rail, énergie… pour en saisir toute l’importance. Et, dans l’avenir, le développement de l’internet des objets ne fera qu’accroître encore l’usage des systèmes d’information dans la sûreté et la sécurité des entreprises.

Les risks managers se doivent donc d’intégrer la sécurité de ces systèmes pour assurer la sûreté de leur entreprise. S’il en était besoin, la récente défaillance des capteurs de crue de la Seine (2) (qui n’était, dans ce cas, pas due à une défaillance du SI) montre l’importance de ces dispositifs connectés et les conséquences qu’il pourrait y avoir à ne pas s’assurer du bon niveau de sécurité des SI qui les pilotent.

Et cela s’applique également aux outils de la gestion de crise. En effet, la dématérialisation a aussi atteint les services de gestion des risques et il devient rare de trouver un annuaire de crise autre que numérique. De même, les outils de la salle de crise – à l’exception notable du tableau blanc – sont bien souvent des éléments du système d’information. Il est donc impératif que le risk manager se soit assuré auprès de la DSI que le système de gestion de crise fonctionnera, y compris lorsque le système d’information de l’entreprise serait le sujet de la crise.

Dans les fonctions mêmes de la gestion des risques se pose donc la question de la disponibilité et de la robustesse des systèmes d’information. Ici encore, le risk manager devrait être en capacité de pondérer les risques comme la qualité des mesures mises en œuvre pour y répondre. Or, à moins d’avoir une appétence toute particulière pour la cyberdéfense ou une formation ad hoc, il n’est pas réaliste de penser qu’il pourra le faire. Ce n’est pas son domaine de compétences.

 

Le poids des systèmes d’information dans la gestion des risques

Après avoir identifié l’ensemble des biens et processus vitaux pour son entreprise et procédé à l’étude des scénarii de menaces qui pourraient les altérer (sabotage, accident industriel, épisode climatique violent, pandémie, …), il n’est pas rare de constater que les scénarii portant sur les systèmes d’information, bien que préoccupants, restent souvent les moins bien maîtrisés. 

L’évolution rapide des technologies, l’hétérogénéité des systèmes, les contraintes contractuelles, la pénurie de compétences nécessaires sont autant de raisons valables à cette situation. Le défaut de prise en compte par les responsables en est probablement une autre (mais peut-être est-ce dû au caractère intrinsèque du sujet : comment matérialiser des risques dans des procédures dématérialisées ?).

Pour gérer les risques liés aux systèmes d’information de l’entreprise, il est donc impératif que ceux-ci soient pris au niveau du risk management, au même titre que l’ensemble des risques métiers (il s’agit d’un risque transverse) et ne se contentent plus d’être traités comme un sujet purement technique relevant de la seul responsabilité de la DSI. Car, nous l’avons vu, celle-ci n’a pas – ou plus – la visibilité sur l’ensemble des projets IT au sein de l’entreprise. En outre, elle peut être amenée à privilégier la production au détriment de la sécurité.

La solution ne résidera probablement pas dans le recrutement d’un risk manager omniscient, mais plutôt dans un binôme risk manager / responsable de la sécurité des systèmes d’information (RSSI). Ensemble, ils devront développer une politique de défense et de sécurité globale (incluant les risques liés à la sécurité des systèmes d'information) et pourront intervenir auprès de chacune des directions métiers afin de relayer et transposer cette politique.

Une telle organisation a l’avantage de présenter une réponse globale tout en garantissant l’autonomie et la prise de responsabilité des métiers. Elle renforce également le management des risques en l’éclairant sur l’ensemble des aléas portés par les technologies de l’information, et facilite la remontée d’informations pertinentes vers la direction.

Les limites d’une telle organisation restent, quant à elles, comme bien souvent, celles du nombre limité de ressources humaines dans ce secteur.

Ce sujet et les stratégies à mettre en œuvre pour y répondre feront l’objet d’une table ronde intitulée « Sûreté et sécurité numérique : vers la sécurité globale » aux prochaines assises de la sécurité qui se dérouleront à Monaco du 5 au 8 octobre prochain.

 

(*) Stéphane Dubreuil est le fonctionnaire SSI du ministère de la Justice, et Jérôme Saiz est consultant en protection des entreprises au sein de la société OPFOR Intelligence.

 

[1] Référentiel métier du risk manager produit par l'AMRAE http://www.amrae.fr/sites/default/files/fichiers_upload/AMRAE%20Referentiel%20Metier%20Risk%20Manager_102013.pdf

[2] Inondations : pourquoi le niveau de la Seine a-t-il été sous-estimé à Paris ? 
http://www.lexpress.fr/actualite/societe/meteo/inondations-pourquoi-le-niveau-de-la-seine-a-t-il-ete-sous-estime-a-paris_1798981.html

 


PrécédentAccueilSuivantPartager