Comment gérer efficacement la mise en conformité et la sécurité ?
Par Leif Kremkow, Directeur Technique, Qualys France

samedi 22 mars 2008

Il ne fait aucun doute que la mise en conformité a changé pour toujours le rôle des RSSI. Il ne suffit plus seulement de trouver les failles et de les réparer. Aujourd'hui, les processus de sécurité doivent être bien documentés et justifiés. Se déclarer conforme à une politique de sécurité n'est plus suffisant, encore faut-il être capable de le prouver. Si cette couche additionnelle d'examen minutieux liée à la normalisation est réalisée convenablement, ainsi que les reportings, les entreprises peuvent alors combiner leurs politiques de sécurité et de mise en conformité et donc rationaliser leurs efforts, contrôler leurs dépenses et garder leur réseaux sécurisés en conformité.

La meilleure manière d'y arriver est d'adopter un cadre de gouvernance informatique qui pourrait s'ajouter, non seulement aux outils informatiques de gouvernance des opérations, mais pourrait couvrir également un pourcentage significatif des mandats de normalisation de mise en conformité, comme ceux liés à Sarbanes-Oxley, à Bâle II et à la Loi de Sécurité Financière.

Trois lignes directrices les plus communément utilisées aujourd'hui sont :

COBIT 4.1. COBIT propose un cadre global dans lequel les dirigeants d'une société et de son Système d'Information peuvent identifier ce qu'ils devraient faire à la suite de l'établissement des objectifs stratégiques liés aux métiers. Dans le standard COBIT, le Système d'Information est au service des objectifs métiers et des visions stratégiques des dirigeants. Le principe de cette norme est de définir et de suivre des objectifs mesurables concernant les procédures du Système d'Information. Sa vision globale lui permet d'être un référentiel fédérateur dans laquelle d'autres méthodologies peuvent cohabiter, comme par exemple ITIL, ISO, PCI, ou même 6 Sigma.

Le caractère macroscopique de COBIT inclut alors les politiques de sécurité et les efforts de mise en conformité du RSSI, mais ceci pour s'assurer :

a) que ses procédures sont bien dans l'intérêt des objectifs métiers,

b) qu'ils permettent à l'entreprise de maximiser ses gains,

c) que les ressources affectées sont utilisées de manier optimales, et finalement,

d) que les risques induits sont maîtrisés.

Ainsi, les ressources nécessitées par le RSSI et la valeur qu'il produit peuvent être mises dans le contexte général des objectifs de l'entreprise.

ITIL 4.0. est un référentiel qui propose des bonnes pratiques pour la gestion des services et le support d'un Système d'Information. Tandis que COBIT propose des réponses à ce qui devrait être fait, ITIL se concentre sur comment les choses devraient être faites. La gestion des services par ITIL est faite pour soutenir les objectifs « métier » et non pour participer à leur définition. Le principe d'ITIL est d'implémenter des procédures pour suivre les bonnes pratiques.

Le RSSI pourra alors aligner ces procédures internes pour sa gestion de la sécurité et la mise en conformité sur les bonnes pratiques proposées par ITIL. Ce travail de normalisation des procédures et d'adaptation au référentiel permettra alors d'utiliser un langage standardisé et homogène dans l'industrie, à travers les différents acteurs du Systèmes d'Information.

ISO/IEC 27002. Ce standard international propose un code de bonnes pratiques pour l'initiation, la mise en œuvre, et la maintenance d'un Système de Gestion de la Sécurité de l'Information. Le standard identifie alors des objectifs et leur contrôle, pour assurer la confidentialité, l'intégrité et la disponibilité des informations mises en œuvre de manière structuré par le Système de Gestion de la Sécurité de l'Information. Ces bonnes pratiques sont classées dans 12 sections qui vont de l'analyse de risque, de la définition des politiques de sécurité, à la gestion des accès, à l'acquisition de nouveaux éléments, et à la sécurité physique. Pour conclure, il est possible d'obtenir un certificat ISO/IEC 27001 pour prouver la mise en place réussi du Système de Gestion de la Sécurité de l'Information et le respect des normes de l'industrie avec ISO/IEC 27002.

Le RSSI trouvera dans ISO/IEC une approche détaillée pour protéger l'information de son entreprise - de l'identification des risques, en passant par la définition des objectifs, pour terminer avec le contrôle du respect de ces objectifs. Quand COBIT donne une vue globale de la société et permet d'aligner l'entreprise sur sa raison d'être, ITIL permet d'améliorer la qualité du service (les fonctions du Système d'Information étant alors le service), ISO/IEC 27002 met en place le Système de Gestion de la Sécurité de l'Information.

Chacun de ces textes est un outil puissant qui peut être utilisé pour fournir la structure et les processus de gestion nécessaires pour un programme efficace en matière de sécurité, particulièrement dans les PMI et grandes entreprises. Mais seules les règles n'aideront pas les RSSI à rationaliser leurs efforts de mise en conformité et de sécurité ; si les processus ne sont pas mesurables et donc pas contrôlables. L'essentiel n'est pas d'avoir appliqué COBIT ou d'avoir ISO/IEC 27001, mais plutôt de comprendre comment ces méthodes et standards sont appliqués, et quand ils pourront produire des effets positifs au sein de l'organisation.

L'avenir est, sans aucun doute, aux solutions de sécurité qui permettent aux entreprises de valider leur mise en conformité vis-à-vis de ces normes. Aujourd'hui, des éditeurs développent des outils d'évaluation pour combiner des processus de sécurité et de conformité. Il n'existe à ce jour pas de solution miracle qui rendra une société conforme du jour au lendemain. Mais il existe des solutions qui permettent d'automatiser le contrôle des processus et des objectifs, libérant ainsi les collaborateurs des taches répétitives et récurrentes - domaine dans lesquelles les machines sont devenues maîtresses.

Ces solutions d'évaluation des politiques fournissent les règles du cadre pour la mise en conformité de normes telle que Sarbanes-Oxley, aussi bien que pour les règles de gestion de la sécurité. Ces solutions ont encore une longue vie afin d'aider les entreprises à accroître le niveau de sécurité et de conformité.

La puissance considérable de ces suites d'outils, en plus de l'amélioration de leur efficacité et des économies réalisées, donnent aux responsables, via les reportings proposés, tous les éléments pour prendre des décisions efficaces. De cette façon, chacun peut ainsi atteindre ses objectifs pendant que les risques de sécurité et de conformité sont atténués.