L’actualité nous rappelle régulièrement que l’insécurité des systèmes d’information pardonne de moins en moins, qu’il s’agisse de HBO, qui s’est fait subtiliser plusieurs milliers de documents internes, de Saint-Gobain, qui a perdu 250 millions d’euros après l’attaque du ransomware Petya ou, plus récemment, d’Equifax, dont les données concernant 145 millions d’américains ont été compromises.
Reste à mettre en pratique les théories et les méthodologies de sécurité. Et, plus généralement, d’organiser la résilience des organisations. C’est l’objet de l’ouvrage d’Erica Seville, qui pilote un programme de recherche sur les organisations résilientes. L’objectif est d’être « prêt pour le futur ». Selon elle, la résilience n’est pas seulement une question de management des risques.
C’est, plus globalement, la capacité d’une organisation à disposer de l’agilité nécessaire pour s’adapter à des événements imprévus. Qu’il faut être capable de mesurer en amont. Pour cela, l’auteur, qui considère la résilience comme un véritable actif de l’entreprise, propose treize indicateurs clés (voir encadré). Erica Seville propose également soixante-six actions pratiques pour améliorer la résilience d’une organisation.
Les aspects pratiques sont également privilégiés par Claude Pinet. A partir des dix clés essentielles pour comprendre la sécurité de l’information (processus de gestion de risques, gestion des incidents, certification…), l’auteur a élaboré trente-deux fiches techniques pratiques, qui couvrent tous les aspects qu’il faut privilégier pour la définition et la mise en œuvre d’une politique de sécurité des systèmes d’information, par exemple : le contenus des normes ISO/CEI, des exemples de catégories d’actifs, de menaces et de vulnérabilité, de tableaux de bord, de pondération de la probabilité d’un risques, le contenu d’un plan de reprise, les missions d’un manager de risques ou encore la manière de gérer les incidents. Selon l’auteur, « toute organisation, avant d’entreprendre une action quelle qu’elle soit, doit se poser la question de l’évaluation des conséquences que cette action est susceptible d’entraîner. Et c’est probablement dans le domaine de l’information que l’impact des décisions et des actions peut s’avérer le plus difficile à appréhender. »
Résilience : treize indicateurs clés
- Le leadership : pour affronter les situations de crise.
- L’engagement des collaborateurs : pour traiter un problème jusqu’à sa résolution.
- La qualité des partenariats avec des tiers : pour travailler plus efficacement en période de crise.
- La capacité à détecter les signaux faibles : pour anticiper les situations de crise.
- L’innovation et la créativité : pour capitaliser sur les connaissances.
- La proactivité : pour répondre rapidement à l’inattendu.
- L’unité stratégique : pour définir les priorités pendant et après une crise.
- La rapidité de décision : pour agir au plus vite.
- La capacité à casser les silos : pour travailler avec d’autres organisations.
- Les ressources internes : pour absorber des changements inattendus.
- Le partage des connaissances : pour pouvoir remplacer les personnes-clés.
- La planification : pour gérer la dépendance à l’égard de tiers.
- Les plans d’urgence régulièrement testés : pour limiter les conséquences d’une crise.
Source : Resilient organizations.
Les missions d’un manager de risques
- Définition et mise à jour de la politique de sécurité.
- Identification, analyse et évaluation des risques.
- Propositions d’actions préventives et correctives.
- Vérification et suivi de l’efficacité des actions.
- Communication sur les risques et leur gestion.
- Sensibilisation et formation à la problématique de gestion des risques.
- Élaboration des indicateurs avec un tableau de bord sécurité.
- Gestion de la veille (réglementaire, technique…) sur les risques.
Source : 10 clés pour la sécurité de l’information
10 clés pour la sécurité de l’information, par Claude Pinet, Afnor Editions, 2017, 187 pages.
Resilient organizations, how to survive, thrive and create opportunities through crisis and change, par Erica Seville, Editions KogaPage, 2017, 184 pages.