Le lien entre la sécurité du système d’information et la gouvernance de l’entreprise parait évident au premier abord : après tout le SI est une ressource critique, il est exposé à une grande partie des risques de l’entreprise et il fait peser sur cette dernière de forte contraintes de conformité.

Mais il s’agit là d’une vision « à dix mille » comme disent les architectes du SI. Sur le terrain les articulations concrètes entre la SSI et la gouvernance peuvent être beaucoup plus délicates à mettre en oeuvre.

Tout d’abord parce qu’il s’agit de lier efficacement une vision managériale à des considérations très opérationnelles. Par exemple, le cycle de vie des incidents de sécurité. Un incident est, à sa naissance, une trace purement technique au contexte très limité. Si l’on souhaite la rendre utile au sein d’une démarche de gouvernance elle devra en fin de cycle être une information enrichie et mise dans le contexte beaucoup plus large des risques de l’entreprise. Comment s’opère une telle transformation ?

De même pour les risques. Ceux purement SI ne peuvent (ou ne devraient, en tout cas) exister en vase clos. Leur impact sur les autres risques de l’entreprise devrait être évalué. Mais replacer ainsi des risques IT dans un contexte plus global de risques d’entreprise demande des processus et une organisation adaptés (l’on pense ici notamment au rôle que peut jouer une Direction Sécurité Groupe). Là aussi, comment s’organiser concrètement ?

Plus largement, la Politique de sécurité du système d’information (PSSI) est censée refléter la vision stratégique de l’entreprise en matière de sécurité de l’information. Pour être efficace elle doit ensuite évidemment s’incarner en mesures techniques concrètes (via des politiques techniques par métier ou activités, ce qui est déjà un projet en soi !). Mais dans le cadre d’une démarche de gouvernance, les effets de ces actions sur le SI doivent, à l’image des incidents de sécurité mentionnés plus haut, « remonter » et être traduits en information exploitables. Là aussi, la tâche est simple à décrire mais plus complexe à mettre en oeuvre.

Ainsi, bien que centrale, la place de la SSI dans une politique de gouvernance, de conformité et de maîtrise des risques (GRC) ne va pas de soi. Toute en articulations, elle mérite de sérieuses réflexions.

Et ce sont précisément ces réflexions que nous vous proposons de partager à l’occasion de notre prochain CSO Interchange, qui aura lieu le 12 juin prochain à Paris. Entre professionnels, autour de cinq tables rondes thématiques et sans présence commerciale, vous pourrez partager vos questions, vos expériences concrètes, vos échec et vos solutions.

L’inscription est gratuite, réservée aux professionnels de la SSI hors fournisseurs, profils commerciaux et consultants.

Plus d’information :
Programme complet et inscription en ligne.