Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La voie du jeune RSSI

auteur de l'article Jerome Saiz , dans la rubrique Carrière

Commentaires Commentaires fermés sur La voie du jeune RSSI

Retour sur un modèle un maturité de sécurité et comment il peut permettre au RSSI novice de se positionner efficacement.

La théorie de l’évolution ne concerne pas que les batraciens : les entreprises, elles aussi, peuvent suivre une courbe d’évolution, notamment en matière de sécurité. Et pour un RSSI fraîchement nommé, il est vital de savoir où en est son entreprise sur la voie de la maturité sécurité afin d’être en mesure de se positionner efficacement et connaître les défis qui l’attendent.

Plusieurs modèles de maturité ont été proposés et nous nous appuierons ici sur celui présenté dès 2005 par l’analyste Gartner. Ce modèle vient d’être repris par le SANS dans un document destiné aux RSSI nouvellement promus, afin entre autre de les aider à passer d’une fonction technique à un poste plus stratégique.

Le Gartner distingue quatre grandes étapes dans le parcours sécurité de l’entreprise : une phase d’ignorance douce, suivie d’un « éveil » parfois douloureux, puis une phase de correction et, enfin, le Saint Graal : la période d’excellence opérationnelle.

Alors, où vous situez-vous ?

L’ignorance douce est caractérisée par des politiques en place qui peuvent être nombreuses mais ne sont pas maintenues, ainsi que par un faux sentiment de sécurité (et ceci notamment parce que les incidents ne sont pas remontés). On note également à ce stade une absence de communication entre la fonction sécurité et les métiers.

L’éveil est généralement causé par un incident de sécurité qui ne peut être ignoré. Cela conduit à décréter que « quelque chose doit être fait pour la sécurité ». Et ça se traduit le plus souvent par une remise en cause des politiques (qui sont alors mises à jour) et parfois la mise en place d’une équipe de sécurité dédiée. A ce stade le risque pour l’entreprise est d’estimer en avoir fait assez et de se reposer sur ses nouvelles politiques à jour… qui ne le resteront bien entendu pas longtemps. Mais si elle persévère, elle sera alors en bonne voie pour développer une véritable stratégie de sécurité grâce à ses nouvelles politiques.

La phase de correction s’appuie sur la stratégie instiguée à l’étape précédente. Elle consiste fort logiquement à considérer où l’on est, où l’on veut aller, et à déterminer la meilleure façon de s’y rendre. C’est donc ici que l’on défini des objectifs et que l’on implique les métiers (car pour être efficaces les nouvelles politiques en place ne doivent pas aller à l’encontre du business). C’est ici également que l’entreprise évalue, finance et lance ses projets sécurité les plus structurants. En outre c’est aussi une bonne idée à ce stade de mettre en place un reporting sur les progrès et le rendement des projets sécurité.

L’excellence opérationnelle est atteinte lorsque la sécurité est intégrée au quotidien de l’entreprise, à ses pratiques et à ses nouveaux projets. La sécurité est alors nécessairement pilotée par les métiers et mesurée en permanence selon des métriques bien définis. Enfin, dernier point de maturité : l’entreprise reconnaît et accepte les risques résiduels inévitables.

Face à ces phases d’évolution se positionnent, bien entendu, les hommes : en début d’évolution la responsabilité de la sécurité est souvent l’affaire de techniciens (réseau, opérations) tandis qu’elle devient celle du management à l’issue de l’évolution.

Et c’est là que la vie du nouvel RSSI peut-être difficile s’il n’a pas suivi une courbe d’évolution similaire à celle de l’entreprise où il vient d’être nommé.

Le SANS, qui s’appuie lui aussi sur le cycle d’évolution du Gartner, note ainsi qu’une entreprise qui se dote d’un RSSI en mettant aux commandes un ancien responsable technique sera généralement située entre le stade de l’ignorance douce et celui de l’éveil. Et cela n’est pas forcément une mauvaise chose pour le RSSI : « le flou artistique qui règne dans l’entreprise à ce stade est le gage d’attentes limitées de la part de la Direction en matière de sécurité ». Mieux encore : la décorrélation de la sécurité et des métiers fait qu’en cas d’échec d’un projet sécurité, l’impact sur le business pourra être très limité, voire invisible. C’est donc la position idéale afin d’apprendre les ficelles du métier et les spécificités de l’entreprise.

Plus il avance, en revanche, plus le RSSI verra sa marge d’erreur diminuer et sera confronté à des projets de plus en plus stratégiques (définition des architectures de sécurité, programme de sensibilisation, classification des données, maintient des politiques de sécurité, etc). S’il n’y a pas été préparé par la phase d’apprentissage par l’erreur ci-dessus, il va devoir s’accrocher.

Il faudra notamment au RSSI à ce stade être capable d’aborder de grands chantiers plus structurants. Et il serait périlleux alors de ne pas établir un plan à terme (cinq ans, par exemple), qui détaille les domaines qui doivent être sous contrôle à cette échéance. Le SANS, en s’appuyant sur les travaux de Scholtz, Byrnes & Heiser (« Establish an Effective Security Program, Part 1: Structure and Content »), propose d’y inclure la création et le maintient des politiques de sécurité, la définition des architectures sécurisées, la création d’un projet de sensibilisation et la classification des données (bon courage, ndlr). Sur le front des contrôles, on trouve au programme la gestion des identités, des vulnérabilités, des correctifs et le renforcement de l’accès distant.

Mais attention : le RSSI peu expérimenté, prévient le SANS, risque de tomber dans le piège d’un plan à trop longue échéance. Il doit être en mesure de garder le cap des projets structurants tout en décrochant régulièrement des « quick wins » afin de convaincre à court terme (la centralisation de la gestion des antivirus ou l’analyse de vulnérabilités pour les postes de travail sotn de bons exemples en la matière).

Deux conseils majeurs enfin. Tout d’abord, il est conseillé au jeune RSSI de s’intéresser de près aux standards et bonnes pratiques (COBIT, ISO 27000, mais aussi ITIL afin de parler à la IT). Cela permet de visualiser plus aisément les points à améliorer en priorité et ainsi concentrer les efforts et les budgets là où cela a du sens.

Enfin, et on touche ici à la philosophie : le SANS rappelle qu’il faut savoir accepter l’imperfection. La couverture du risque ne sera jamais totale et les objectifs de sécurité des divers standards peuvent parfois sembler inaccessibles. Il faudra alors au jeune RSSI faire preuve d’esprit zen et savoir commencer petit : faire prendre de bonnes habitudes sécurité aux équipes de production même si le résultat n’est pas franchement significatif, lancer des mini-reportings sans grand intérêt en soit, mais qui créeront un précédent sur lequel il sera possible d’évoluer par la suite.

Le jeune RSSI, bien entendu, n’en n’aura pas fini pour autant : il lui faudra par exemple encore apprendre de ses échecs, savoir mesurer ses succès, gérer les hommes, décorréler la gouvernance de la technique et survivre à un audit s’il veut devenir un homme. Autant de domaines certes couverts par l’excellent document du SANS , mais qui relèvent ici plutôt de l’empirique. Et s’il a survécu jusque là, le jeune RSSI sera certainement bien équipé pour affronter ces défis.

Le niveau de maturité sécurité de l’entreprise (cliquez pour une version plus grande)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.