• Print
  • Decrease text size
  • Reset text size
  • Larger text size
10/20/2016

Le programme de sécurité numérique, un élément incontournable pour une bonne sécurité des SI

Dans ce contexte d’une incontestable numérisation croissante des activités et des usages, les attaques informatiques deviennent de plus en plus sophistiquées, notamment à détecter, maximisant ainsi les gains obtenus par leurs initiateurs depuis plusieurs années. Les risques encourus peuvent ainsi de plus en plus fréquemment mettre en péril l’avenir de l’activité d’une entreprise ou d’une administration. 

L’essentiel est dans la capacité à exécuter  

Cependant, si tous s’accordent sur le respect de la réglementation et l’importance des conséquences associées, des divergences apparaissent quant aux investissements réalisés. La sécurité informatique n’est pas encore suffisamment prioritaire dans les portefeuilles d’initiatives. En effet, rares sont les institutions qui pérennisent une part significative de leur chiffre d’affaires ou un budget à la sécurité du digital alors que la menace n’a jamais été aussi importante. De même, rares sont les entreprises présentant leur sécurité informatique comme un argument commercial auprès de leurs clients, alors même que dans les industries telles que les banques ou les assurances, celle-ci joue un rôle primordial compte tenu de la nature confidentielle des données traitées, y compris les données personnelles. La sensibilisation au risque numérique reste encore très insuffisante.

Il apparait nécessaire de mettre en place un ensemble d’initiatives regroupées sous la forme d’un programme, qui permettra d’identifier et de traiter les risques résiduels liés à la sécurité informatique par le déploiement d’un certain nombre d’actions. Toutefois, du fait de la globalisation, la sécurité du digital est rendue plus difficile à mettre en œuvre compte tenu des périmètres à couvrir, des différentes législations (dont les sanctions sont de plus en plus significatives), des exigences clients, de la priorisation des actions à entreprendre, des pratiques hétérogènes constatées et des contraintes métiers. 

Ainsi, une grande part du succès dans le déploiement de la sécurité du digital réside dans la capacité à exécuter. Cet objectif doit répondre pleinement aux enjeux préalablement définis de manière à satisfaire les clients externes, internes (métiers, supports…) ainsi que toutes les parties prenantes associées (régulateurs…). 

#QUOTE

"Une grande partie du succès dans le déploiement de la sécurité du digital réside dans la capacité à exécuter."

Un soutien inconditionnel du top management pour la réussite 

Le lancement de ce type de projet de transformation ne peut être uniquement porté par la Direction des Systèmes d’Informations ou le Responsable de la sécurité informatique. Et comme tout programme de transformation majeur, et afin d’en assurer le succès, il doit pouvoir être soutenu de manière inconditionnelle par le plus haut niveau du management lors de son lancement ainsi que tout au long de sa phase de mise en œuvre. 

#QUOTE

"Le lancement du programme de sécurité du numérique doit pouvoir être soutenu de manière inconditionnelle par le plus haut niveau du management."

Le sponsorship du programme de sécurité informatique permet de créer une dynamique à tous les niveaux hiérarchiques et d’y faire adhérer l’ensemble des collaborateurs. Il sera en outre la garant du parfait alignement des objectifs du programme avec la stratégie globale. Le Comité Exécutif par exemple, pourra, sur la base de la cartographie des risques informatiques préalablement établie, procéder à la communication de son approbation et la désignation du responsable en charge du programme de sécurité.

Mais un soutien durable du top management ne suffit pas pour la pleine réussite de ce type d’initiative. Pour s’assurer de prendre en compte le périmètre le plus exhaustif possible et d’en faciliter la mise en œuvre de manière à en produire les résultats escomptés, il est nécessaire d’engager également l’ensemble des parties prenantes, y compris les métiers et les fonctions supports. En effet, la parfaite compréhension des processus et des enjeux métiers et des fonctions supports permettra de répondre le plus efficacement possible aux menaces tout en offrant une grande flexibilité. Ainsi, il s’agira ici de mettre en place une gouvernance qui fera preuve d’une forte conviction

Structurer et piloter un programme sécurité du numérique

1. Planifier

Comme toute entreprise d’une telle envergure, les objectifs à atteindre par le programme doivent être clairement définis, conjointement avec l’ensemble des parties prenantes présentes aux instances de gouvernance associées. Une fois ces prérequis réalisés, une approche détaillée de mise en œuvre pourra être conçue et déclinée dans un plan projet structurant le programme : planning, plan d’actions détaillé, gouvernance, rôles et responsabilités…et les moyens financiers alloués seront à la hauteur des ambitions et du degré de maturité de l’organisation.

La phase dite « de planification » est la plus importante. Elle permettra d’aligner tous les objectifs par rapport à la stratégie globale préalablement définie et d’y allouer l’ensemble des ressources. Beaucoup d’initiatives ne remplissent pas pleinement leurs objectifs car cette phase de planification a été pour la plupart du temps partiellement ou entièrement négligée. Il s’agira donc de définir des objectifs atteignables et qui auront été priorisés sur une échelle de temps : court terme (6 mois), moyen terme (1 an) et long terme (plus d’un an). Par ailleurs, il apparait nécessaire de donner au management la possibilité de mettre en place ces initiatives qui nécessiteront sans doute plusieurs années avant d’en voir les résultats.  

2.Mettre en oeuvre

La phase de mise en œuvre opérationnelle d’un programme de sécurité exige une compétence en conduite de portefeuille de projets complexes. Une direction de programme dédiée, comprenant une cellule PMO expérimentée, doit être mise en place pour le pilotage. Cette cellule sera garante de l’atteinte des résultats dans les délais et le budget impartis. Elle aura la charge de consolider et de traiter l’information ainsi que d’appuyer méthodologiquement les chefs de projet. De plus, pour accroître son efficacité, la cellule de pilotage devra être légitimée par un positionnement hiérarchique élevé et un accès direct au management, sans pour autant court-circuiter les équipes en charge de la réalisation.

L’efficacité du pilotage d’un programme de grande envergure nécessite la mise en place de standards et une industrialisation des pratiques qui devront être déployés et garantis par la cellule PMO. Un autre élément contributeur au succès est la faculté de cette cellule à se positionner en facilitateur auprès des parties prenantes dont notamment les chefs de projets déjà mobilisés dans la gestion quotidienne de leur projet.

En effet, la Direction de programme devra permettre la mise en place de processus de reporting simples de manière à permettre aux équipes projets de se focaliser sur leur travail et ainsi de produire la valeur ajoutée attendue.

Faciliter la prise de décisions

Le suivi de l’avancement du programme et la garantie de son parfait alignement avec les objectifs définis, nécessitent un ensemble de rapports adaptés aux différentes instances de gouvernance (opérationnelle vs stratégique) ainsi qu’au grand nombre d’interlocuteurs.

Outre les indicateurs et les schémas standards, une attention particulière devra être portée sur les sujets parfois techniques pour une grande majorité d’interlocuteurs. Aussi ces rapports devront permettre une parfaite compréhension des enjeux et les mettre en exergue de manière à faciliter la prise de décision du top management.

En effet, on constate trop souvent un manque de dynamisme ou de décisions non prises en raison d’un manque de compréhension des enjeux ou des objectifs à atteindre. Un effort sur la synthèse et sur une relative simplification des thématiques, notamment les risques, devra être réalisé pour répondre au besoin du top management. 

#QUOTE

"Ces rapports devront permettre une parfaite compréhension des enjeux et les mettre en exergue de manière à faciliter la prise de décisions du top management."

 

---------------------------------------------

Raphaël Bergerault - Manager
0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top