Des moyens limités, un budget sécurité réduit, de nouveaux risques à couvrir, des évolutions organisationnelles : ces quelques contraintes imposent l’optimisation de la performance opérationnelle du dispositif sécurité. Avec OPIS (Operational Performance of Information Security), nous proposons d’appréhender la maîtrise des risques sécurité comme un levier de compétitivité pour l’entreprise.
Si la performance opérationnelle est recherchée depuis longtemps dans l’industrie, elle est peu abordée dans le domaine de la sécurité de l’information. Dans un contexte qui exige une amélioration permanente de l’efficience des processus, pourquoi ne pas appliquer les démarches éprouvées de performance opérationnelle à la sécurité ?
Le socle d’analyse d’OPIS s’appuie sur onze familles de processus sécurité qui regroupent une soixantaine de processus et qui couvrent ainsi la globalité de l’activité sécurité d’une entreprise. La performance opérationnelle de ces processus sécurité est étudiée au travers de sept enjeux essentiels. Ces enjeux représentent les différentes sources de gain potentiel pour l’activité sécurité.
Tout d’abord, l’optimisation des coûts favorise la réduction de la charge financière nécessaire à la couverture des risques : par exemple, une diminution des coûts de fonctionnement du processus de gouvernance permet de réaffecter ces ressources à l’extension de la couverture des risques.
L’augmentation de la réactivité facilite la réduction des délais de prise en compte et de traitement et le suivi des évolutions externes : par exemple, l’optimisation de la réactivité d’un processus de gestion des identités et des accès permet de refléter au plus vite l’activité métier réelle des utilisateurs, que ce soit pour l’attribution ou pour la suppression d’un accès.
L’augmentation de la couverture d’un processus assure que les activités sécurité sont prises en compte sur le périmètre le plus large possible : par exemple, le niveau de sécurité d’une architecture est souvent celui du maillon le plus faible. Ainsi, un processus de gestion de patchs se conçoit sur un ensemble très étendu de serveurs. A défaut, les serveurs non couverts risqueraient de compromettre l’ensemble de l’infrastructure.
L’amélioration de la cohérence d’un processus permet de garantir que les mêmes éléments d’entrée produisent des résultats identiques et augmente ainsi la prédictibilité des résultats : par exemple, un processus d’analyse de risque doit pouvoir repérer les risques à couvrir et surtout identifier les mêmes solutions de sécurité, quels que soient l’opérateur impliqué ou la date de réalisation.
L’amélioration du respect d’un processus sécurité assure que le processus est réalisé tel qu’il a été défini. Outre un contrôle accru sur ce qui est accompli, le respect permet l’amélioration de la maturité de l’activité : par exemple, un processus de gestion des alertes et des incidents, par exemple, doit être suivi par les exploitants tel qu’il a été défini dans ses phases de détection, d’analyse ou de correction, sous peine de ne pas qualifier correctement une alerte et de mal corriger un incident.
L’amélioration de l’alignement métier d’un processus permet d’augmenter sa valeur ajoutée pour le business. Appliquée à la sécurité, cette amélioration doit permettre conjointement de couvrir les risques et de faciliter le fonctionnement métier en créant, au mieux, des opportunités de business. Par exemple : un processus de continuité d’activité doit être pleinement aligné avec le métier pour qu’en cas de sinistre, les processus cruciaux puissent continuer à fonctionner. Dans l’idéal, les sinistres majeurs doivent être transparents pour toute activité participant au business.
La réutilisation favorise le réemploi des résultats des processus : solutions, recommandations : par exemple, le processus de gestion des audits doit pouvoir délivrer des rapports utilisables pour mener des actions correctives ; dans ce cas, à des fins de correction, l’enjeu de réutilisation est capital.
Décloisonner la sécurité, éliminer les dysfonctionnements et industrialiser les pratiques sont autant de leviers pour améliorer la performance opérationnelle de la sécurité. En généralisant cette démarche qui impacte les sept enjeux clés, les grands comptes seront les témoins de l’amélioration globale du dispositif de sécurité.
Cet article a été écrit par Maxime de Jabrun, Senior Manager, Beijaflore Management SI.