Les cycles des marchés du métier s’accélèrent, les structures d’entreprise évoluent fortement. Les intégrations de partenaires ou d’acquisitions doivent être opérationnelles rapidement. Les scissions désimbriquées au plus vite. Dans ce contexte mouvant, quelle gouvernance sécurité déployer pour accompagner la stratégie métier et maîtriser les risques ?
Bien que la voix des RSSI se fasse plus entendre, la contraction des budgets et les contraintes organisationnelles complexifient la couverture des risques. Pour y faire face, une rupture dans la performance opérationnelle de la filière sécurité est-elle nécessaire ? Quels leviers activer pour développer cette performance ?
De la conformité aux standards à la performance opérationnelle
Avant que les organisations prennent conscience de l’importance de se protéger contre les menaces de sécurité, deux modes de « gouvernance » sont observés. L’étape initiale se traduit par le déploiement de rustines en réaction aux incidents majeurs… quand ils sont détectés !
A force d’incidents, une approche plus répétable est observée et se concentre essentiellement sur le déploiement d’outils standard de sécurité. Un antivirus sur les postes, un firewall sur la connexion internet par exemple. A ce stade, la sécurité est une affaire de techniciens !
Puis les organisations, structurent leur réflexion pour aborder la sécurité de leurs informations. On peut distinguer trois étapes clés dans la prise de maturité d’une organisation sécurité :
- La première étape : la définition de règles du jeu partagées dans l’entreprise. En réalité, il s’agit de conformité à des référentiels, le plus souvent standards techniques (NIST, NSA…) ou bonnes pratiques (ISO 27002) du marché adoptées globalement avec peu de mise en contexte métier.
- La seconde : le management par les risques. Elle vise à aligner les dispositifs sécurité sur les besoins du business, en sélectionnant et adaptant les solutions et bonnes pratiques en fonction des risques que les métiers ne veulent pas prendre.
- La dernière : l’optimisation de la performance opérationnelle. Elle tend à optimiser la gestion des risques et rendre efficients les processus sécurité pour faciliter la création de valeur pour l’entreprise. Une approche drivée par la stratégie d’entreprise.
La plupart des grandes entreprises ont déjà franchi le niveau « Défini » et transforment leur approche de la sécurité pour y intégrer une gestion des risques industrielle. La prochaine étape sera celle de l’optimisation et les « trend setters » du marché s’intéressent concrètement à la question aujourd’hui.
Quelle performance opérationnelle ?
Lors de l’étude que nous avons menée entre 2009 et 2010 (disponible sur www.beijaflore.com, rubrique actualité) auprès d’une trentaine de RSSI et DSI français, nous avons constaté que ces entreprises portent plus particulièrement leur attention sur les thèmes suivants :
- La gestion des identités et des habilitations
- Le contrôle permanent des risques
- La gestion des vulnérabilités
- Et un point spécifique sur l’intégration de la sécurité dans les projets
Ces préoccupations de performance s’ordonnent autour de sept axes, présentés ici par ordre décroissant d’importance pour les RSSI :
- La couverture : assurer que les activités sécurité sont prises en compte sur le périmètre le plus large possible
- La réactivité : faciliter la réduction des délais de prise en compte et de traitement et le suivi des évolutions externes
- L’alignement métier : couvrir les risques et faciliter le fonctionnement du métier
- Les coûts : favoriser la réduction de la charge financière nécessaire à la couverture des risques
- La réutilisation : favoriser le réemploi des résultats des processus : solutions, recommandations…
- Le respect : assurer que le processus est réalisé tel qu’il a été défini
- La cohérence : garantir que les mêmes éléments en entrée produisent des résultats identiques
Les deux enjeux de performance qui ressortent très fréquemment sont la couverture (technique, géographique, métier…) et l’alignement métier.
La transposition de nos expériences en performance dans l’industrie au service de la sécurité nous a permis d’identifier deux leviers clés. Le décloisonnement de la sécurité en identifiant les bonnes stratégies de sourcing : en interne dans une équipe plus proche des problématiques, auprès d’un partenaire local, à l’étranger ?
Le deuxième est la chasse aux dysfonctionnements et l’industrialisation des bonnes pratiques en déployant une démarche Lean. Ces leviers permettent à l’entreprise de maximiser la valorisation de ses savoir-faire et technologies. En généralisant cette démarche, les organisations seront témoins d’une amélioration globale de leur dispositif de sécurité.
Un levier possible : le centre de services sécurité
Comment concrétiser le décloisonnement de la sécurité ? Comment mettre en œuvre une approche industrielle ? S’il n’existe pas de réponse universelle, nous préconisons de structurer la filière sécurité en centre(s) de services.
Cette approche permet de mettre le client (métier, utilisateur…) au centre et impose de définir une offre claire alignée sur sa satisfaction. Par ailleurs, elle favorisera la responsabilisation des différents acteurs de processus décloisonnés en mettant en œuvre le modèle Producteur (celui qui a le savoir-faire) / Distributeur (celui qui est responsable du service vis-à-vis du client) de chaque service et en en définissant les interfaces et engagements associés.
Ceci suppose de maîtriser l’ensemble des processus nécessaires à la fourniture du service sécurité et s’inscrit dans une logique de performance. Dans un second temps, l’optimisation peut s’appuyer sur les outils et démarches issus du Lean management et de 6Sigma qui ont largement montré leur efficacité dans d’autres domaines.
Deux axes de réflexion doivent être travaillés. Tout d’abord, sur le volet technique, quel catalogue de solution sécurité l’organisation propose-t-elle aux métiers ?
Il est bien évidemment illusoire de vouloir construire en une fois une réponse à tous les besoins et risques sécurité. En revanche, la mise en place d’un framework de mécanismes sécurité partagé par l’ensemble des acteurs de la DSI favorise l’alimentation itérative de ce catalogue de solutions.
Ce framework pourra également servir de référence pour alimenter le schéma directeur technologique pour les besoins les plus récurrents. Un axe qui rationnalise et standardise les réponses sécurité facilitant ainsi l’industrialisation de leur mise en œuvre.
Le deuxième axe de réflexion aborde le volet « activités sécurité ». En déterminant les activités sécurité qui participent le plus de la création de valeur métier, il est possible de créer une ou plusieurs offres de services convaincantes à destination des métiers.
Il faut déployer en priorité celles qui sont le plus simple à produire : attention à la dépendance vis-à-vis d’autres fournisseurs, à la variabilité des ressources nécessaires. Les écarts constatés entre les besoins des métiers et les capacités de la filière sécurité peuvent alimenter le plan stratégique des équipes.
Le pilotage des services rendus se fera par des indicateurs de performance. La facturation des services rendus sera conditionnée par ces indicateurs, qui rendront l’optimisation des processus nécessaire. Après une phase de construction/transition, la filière sécurité peut aller jusqu’à un engagement de service construit sur le risque résiduel fourni.
Avant de passer dans une logique de performance opérationnelle, il est nécessaire de maîtriser un minimum de standards techniques et organisationnels, et d’avoir amorcé une réflexion basée sur l’approche par les risques. L’objectif de performance opérationnelle pour la filière sécurité implique une rupture dans ses modes de fonctionnement et s’inscrit dans une culture du progrès.
S’organiser comme un centre de services et mettre en place des offres qui s’adaptent aux enjeux sécurité et opérationnels des métiers est un levier pour répondre à cet objectif de manière efficace.
La concrétisation d’un premier centre de services permet d’affirmer la viabilité de ce concept dans le contexte de l’entreprise. C’est une base de départ pour étendre les activités pouvant y être incluses. Une fois cette approche mise en place, pourquoi ne pas imaginer de concentrer les expertises RSSI dans un centre de services dédié pour vos filiales ou entités de petites tailles ? En effet, plutôt que d’avoir 2 RSSI travaillant la moitié de leur temps sur les problématiques sécurité de leur filiale, le centre de services permet de bénéficier de l’expertise sécurité complète d’un seul RSSI prenant en charge les problématiques sécurité de ces deux filiales.
Cet article a été écrit par Maxime de Jabrun, Principal, Beijaflore Management SI.