Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La GRC en manque de fondations

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur La GRC en manque de fondations

La seconde édition du GRC Interchange, organisé à Paris par la Qualys Security Community, a permis de mettre en lumière une difficulté évidente au sein des entreprises : la communication entre les différents silos impliqués dans une démarche de GRC.

Ainsi, quelle que soit la table ronde abordée, les participants ont systématiquement fait le même constat : il manque un cadre, des pratiques standardisées, afin d’impliquer au sein d’une même démarche de GRC les services financiers, achats, la DRH, la DSI, la SSI ou la direction des risques, par exemple.

Ceci était bien entendu au coeur des débats à la table de discussion proposée par Solucom (Faire le lien entre contrôle interne et fonction SSI), même si le sujet était ici abordé essentiellement du point de vue du contrôle interne et de l’analyse de risque. Les débats ont permis d’identifier les différents acteurs de la gestion du risque dans l’entreprise et de déterminer comment ils peuvent collaborer avec le contrôle interne. Les participants ont déterminés que cela pourra n’arriver qu’une fois une métrique commune définie. Ensuite seulement il sera possible de partager les informations sur le risque (le « catalogue des risques ») afin de s’adresser de manière commune aux métiers, en évitant de les solliciter plusieurs fois.

Toujours à propos du contrôle, la table ronde proposée par Advens (Le casse-tête du contrôle au quotidien) a mis l’accent sur le contrôle comme tâche quotidienne du RSSI, en observant que ce dernier n’avait pas toujours les moyens de la mener à bien (approche souvent déclarative sans apport de preuves).
Les débats ont toutefois plébiscité l’approche d’un contrôle à deux niveaux (un premier réalisé directement par les opérationnels, et un second par le RSSI, par exemple).
Les discussions ont ensuite abordé les conditions nécessaires à la mise en oeuvre d’un contrôle efficace au quotidien (sponsoring, capacité à corriger…), et surtout ont insisté sur la nature « gagnant-gagnant » du contrôle. Le RSSI doit en effet beaucoup communiquer sur le fait que le contrôle n’est pas un moyen de « flicage » mais d’amélioration continue.

Même approche gagnant-gagnant en définitive chez HSC qui proposait un débat sur le thème du SMSI multi-référentiels (Mettre en place un SMSI multi-référentiels). Les débats ont bien entendu surtout portés sur les méthodes et les approches capables d’aider à réconcilier des exigences incompatibles entre deux référentiels : souvent en donnant la priorité au légal, et en essayant de définir un vocabulaire commun entre le juridique et la SSI.
Mais l’enseignement le plus utile pour les RSSI qui ont participé à cette table ronde a certainement été de découvrir comment se servir du SMSI pour harmoniser (intégrer) ces différentes obligations réglementaires peut permettre à la conformité de financer le SMSI… Là encore, nous sommes donc dans le gagnant-gagnant !

Quant à Logica (Groupe CGI), qui proposait de définir le risque IT face au risque SSI (Risque SSI vs risque SI), les débats ont surtout porté sur l’identification des méthodologies, référentiels, organisations et outillages communs aux deux types de risques (et leurs définition !).
Sur le front de l’outillage, par exemple, la table ronde a notamment fait ressortir le manque de maturité des outils d’Enterprise Risk Management pour gérer les deux catégories de risques, et sur le fait que la SSI arrive généralement en bout de chaîne de ces analyses.

Le manque maturité, enfin, était également commenté lors des débats à la table ronde proposée par Verizon Business, qui abordait le thème de la eGRC (« Enterprise GRC » par opposition à IT-GRC). Si cette démarche d’intégration des différentes gouvernantes de l’entreprise (risque, SSI, IT…) ne manque pas de sens, elle semble cependant plus populaire aux Etats-Unis qu’en Europe, où le marché est plus attentiste.
Les participants de cette table ronde ont notamment observé qu’il manquait souvent un « objectif principal », clair et défini au plus haut niveau de l’entreprise, pour que les différents « silos » de la GRC puissent fonctionner ensembles.
Enfin, tout comme Logica dans la table ronde précédente, si la démarche a du sens, l’outillage semble manquer de maturité, bien que l’offre soit prolifique (dans un marché plus mûr aux Etats-Unis, et plus attentiste, voire désintéressé, en Europe).

Au delà de ces tables rondes, deux keynote speakers ont partagé leur expertise avec l’assemblée lors de deux temps forts de la journée : François Coupez (Caprioli & Associés) a remué les certitudes de l’audience avec une présentation consacrée aux risques dans la sélection d’un prestataire de solution SaaS. Et si l’on en croit les nombreuses demandes pour recevoir une copie de ses slides, bon nombre de participants ne devaient pas avoir tout à fait bordé leurs contrats d’externalisation dans le Cloud !
De la disponibilité à la confidentialité, en passant par la réversibilité et les obligations légales en matière de protection des données à caractère personnel, les aspects juridiques du contrat entre le client et son prestataire peuvent faire ou défaire le projet et dans le pire des cas conduire l’entreprise dans le mur. François Coupez a déminé avec brio le terrain, en illustrant ses propos d’échecs vécus par des entreprises peu regardantes quant à leur prestataire en mode SaaS.

Louis Arrivet, DSI du CEA et membre du CIGREF, a ensuite présenté le modèle de gouvernance mis en oeuvre au CEA. Celui-ci, exemplaire, a permis de découvrir comment entre schéma directeur du SI, comité de décision SI, méthodes d’analyse des risques et des coûts et divers référentiels, le CEA est en mesure de formaliser chaque projet depuis l’expression d’un nouveau besoin jusqu’à la mise en production, en validant à chaque étape les budgets, clients internes concernés, risques, contraintes…
Louis Arrivet a notamment dévoilé une astucieuse méthode de financement des projets transverses basée sur un « pot commun » alimenté chaque année par les métiers. Ce qui le dispense notamment de devoir gérer les susceptibilités des métiers à qui l’on demanderait sinon de financer au cas par cas des projets transverses dont ils ne perçoivent pas immédiatement l’intérêt.

Enfin, la journée s’est terminée par un Quizz sécurité, que vous pouvez retrouver en ligne. Le meilleur de nos participants – tous des professionnels, RSSI, Risk Managers… – a obtenu 12/20, soit 60% de bonnes réponses. Saurez-vous faire mieux ? Répondez à notre quizz en ligne !

Rejoignez le groupe GRC Interchange
… pour télécharger les présentations et continuer le débat

Testez vos connaissances
… en ligne avec notre Quizz sécurité !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.