Quand l’outil apporte efficacité et maturité...

Gouvernance Risques et Conformité
Quand l’outil apporte efficacité et maturité...
Pour les problématiques liées à l'organisation et à la gouvernance, le recours à un outil n’est pas toujours une évidence. Certains processus bénéficient largement d'un outil bien pensé. C’est le cas de l’ISP, l'intégration de la sécurité dans les projets
  • Nom : ISP
  • Objectif : intégrer la sécurité dans le cycle de vie des projets
  • Bénéfices : s’assurer que le projet atteint le niveau de sécurité adapté à ses risques
  • Motivations : respecter la politique interne, se mettre en conformité (GDPR, RGS, LPM, etc.), répondre aux attentes d'un client stratégique…
 
Le processus d’ISP consiste, a minima, à réaliser une analyse de risques, produire un plan de traitement adapté et suivre sa bonne implémentation. Ce processus est vite confronté à plusieurs difficultés : Comment gérer le volume de projets ? Comment capitaliser ? Comment ne pas ralentir le processus projet ?
 
Cela mène à industrialiser et outiller l’ISP, pour la rendre accessible aux non-initiés. Il y a quelques années, l’ISP passait par la rédaction d’un dossier de sécurité, sous la forme d’un document « à trous » que le chef de projet devait remplir, avec souvent son courage comme seul soutien. On a progressivement évolué vers un outillage de type Excel ou équivalent. Cette évolution a permis de simplifier la démarche ! Ce type de classeur se compose souvent de :
  • Un questionnaire de qualification initiale, qui permet d’évaluer le niveau de sécurité à atteindre, via une série de questions simples sur le volet fonctionnel (besoins DICP, nature des données, utilisateurs ciblés…) comme technique (hébergement interne ou externe, technologies nouvelles …);
  • Une liste de mesures de sécurité préconisées, issue d’un catalogue de mesures type, dont seules les mesures nécessaires au projet sont mises en avant automatiquement sur la base de la qualification;
  • Un tableau de suivi de l’application des mesures de sécurité, qui va permettre au projet d’acter leur mise en place ou d’itérer avec le RSSI en cas de besoin (blocage, difficulté, etc.) et de prouver l’atteinte du niveau de sécurité souhaité. Dans certains cas, comme pour l’illustration les éléments 2 et 3 peuvent être intégrés dans un même onglet.
 
Exemple d'outillage Advens pour l'ISP
 
Ce type d’outil facilite l’ISP mais il subsiste quelques difficultés... Comment suivre l’ensemble des projets sans perdre des fichiers Excel ? En cas d’évolution d’un projet, faut-il refaire l’analyse ou la mettre à jour ? Pour un projet conséquent, comment utiliser l’outil à plusieurs ? Comment conserver l’historique des changements ? Tout cela reste bien complexe, et pas réellement orienté « utilisateur ».
 
Ces questions ont mené Auchan, avec l’expertise d’Advens, à se doter d’un outil plus performant sous la forme d’un portail Web à destination de toutes les parties prenantes de la Cyber. Véritable outil collaboratif, le portail « Digital Security Workplace » regroupe plusieurs modules, comme notamment le module KB, une version Web de la PSSI, sous forme d’une base de données requêtable, et une version Web de l’ISP, appelé SWITS (“Security Within IT Services”).
 
Ce dernier module implémente toutes les fonctions attendues du classeur et va bien au-delà. Les mesures de sécurité préconisées à un projet sont directement issues du module KB, avec un niveau de détail et d’explication sur la mise en œuvre plus important. Ainsi chaque évolution de la KB (PSSI) est transmise automatiquement aux projets concernés. Les justifications des chefs de projet sont tracées, tout comme les revues des RSSI.
 
Surtout, les dépendances entre projet sont gérées. L’analyse Sécurité d’une plateforme Cloud utilisée par plusieurs entités de l’enseigne est faite une fois pour toute. Chaque entité va ensuite en bénéficier. Un projet qui s’appuie sur ce cloud ne fera que l’analyse de sa couche applicative. Cette hiérarchie permet de dissocier plus clairement les responsabilités et apporte gain de temps et d’efficacité. « Le portail DSW a permis de rendre la connaissance sécurité accessible facilement à tous. Il est au cœur des processus de sécurité d’Auchan Retail.  Il apporte visibilité, communication, facilitation de l’animation de la politique internationale, industrialisation des processus… » témoigne Frédérick Meyer, CISO d’Auchan Retail. « Le SWITS, quant à lui, facilite le processus d’ISP, l’uniformise entre les pays. Grâce à la notion de dépendance, il est vecteur d’économies et de valeur ajoutée à tel point que d’autres enseignes et d’autres métiers s’y intéressent : DPO, contrôle interne, audit interne… » complète-t-il.
 
Pour Advens, ce projet a été l’illustration parfaite de l’apport d’un bon outil. Il a tout simplement permis d’implémenter une vision et de la rendre concrète et opérationnelle.
 
 
Si ce sujet vous intéresse et que vous vous interrogez sur l'ISP face à un projet en mode agile, retrouvrez notre article sur la sécurité en mode agile !
 
Cet article est paru la première fois dans Cyberun, le magzine Cybersécurité des top-managers.
 
 
Benjamin Leroux, Innovation & Marketing, Advens