RSSI et DSI face aux Tableaux de Bord : Retour des Assises 2013

Tableaux de Bord
RSSI et DSI face aux Tableaux de Bord : Retour des Assises 2013

L’atelier organisé par Advens aux dernières Assises de la Sécurité a fait salle comble. Une preuve de plus que les Tableaux de Bord Sécurité sont au cœur des préoccupations de tous. Les regards croisés d’un DSI – Jean-Pierre Favreau des Laboratoires Anios et d’un RSSI – Jean-François Louapre d’AG2R La Mondiale, ont illustré les challenges auxquels il faut faire face et les facteurs clés pour mettre en place une démarche de pilotage efficace et intégrée.

Voici un résumé de leurs principaux échanges et de points de vue émanant d’organisations aux contextes, tailles et enjeux différents.

« Le DSI en avait envie, le RSSI en avait besoin »

Le pilotage est au cœur de la démarche de sécurité du SI : il permet de mesurer l’efficacité des actions et de piloter l’amélioration continue.

Pour Jean-François Louapre (JFL), le pilotage s’inscrit dans la démarche d’amélioration continue visée lors de la mise en place d’un SMSI et il permet de suivre l’avancement du déploiement des directives de sécurité. Quant à Jean-Pierre Favreau (JPF), il attend du pilotage de connaitre le niveau de sécurité de son SI, problématique clé du management de la sécurité opérationnelle.

Le RSSI et les équipes de la DSI se dotent ainsi d’un outil pour prendre des décisions éclairées et, au passage, d’un support pour sensibiliser, communiquer et rendre compte. 

Quelles difficultés rencontrées ?

Le besoin d’un tableau de bord est évident et partagé, cependant les organisations qui cherchent à le mettre en place rencontrent les mêmes écueils depuis plusieurs années.

Côté AG2R La Mondiale, JFL mentionne notamment

  • la complexité de produire des tableaux de bord sans outillage sur un parc de plusieurs milliers d’actifs,
  • le volume de données à collecter et analyser pour couvrir l’ensemble des directives de la PSSI,
  • le besoin de se doter d’une vision neutre, indépendante des remontées des outils de la DSI,
  • la difficulté de définir les bons indicateurs selon les destinataires, pour lesquels il faut parfois agréger, sans perdre le sens des informations transmises,
  • et enfin la mauvaise perception de la démarche par les équipes opérationnelles de la DSI, qui craignent le « flicage ».

Pour ce qui concerne les Laboratoires Anios, JPF cite avant tout la difficulté de « lever la tête du guidon » pour prendre le temps de piloter la sécurité. Il complète en mentionnant :

  • la complexité de mettre en place un tableau de bord en interne parmi tous les autres chantiers et les urgences du quotidien d’une DSI de quelques personnes,
  • l’importante charge de travail que représentent le pilotage et les actions de remédiation pour les équipes de la DSI
  • la difficulté à mettre en place une démarche régulière et pérenne.

Quels facteurs clés de succès ?

Heureusement, les solutions existent !

Pour JFL, il faut faire simple : « Think global, start small » dit-il. La démarche doit être itérative et collaborative et veiller à un bon alignement avec les attendus des destinataires. Quant à la collecte d’informations, elle doit allier la récupération automatisée sur les postes et la récupération de données déclaratives via des formulaires en ligne. Et de conclure : « Il faut savoir remettre en cause ce qui peut sembler acquis ».

JPF renchérit : la démarche participative et progressive doit s’appuyer sur un plan d’actions et des préconisations d’amélioration produites en même temps que le tableau de bord. Il s’agit de mettre en place un processus de conformité et de contrôle de bout en bout qui commence par la collecte des informations au sein du SI et qui se poursuit jusqu’à la production du tableau de bord. Le tableau de bord doit être scindé en plusieurs sections suivant les destinataires. Et il faut « des mots et des images pour rendre la sécurité moins virtuelle et moins technique ».

Le point commun partagé par ces deux témoins et, plus généralement, par les retours d’expérience de tableaux de bord réussis est la mise en place d’un processus industrialisé, piloté de bout en bout, depuis la collecte automatisée des informations jusqu’à la restitution d’indicateurs et leur analyse. Un processus inscrit dans une logique de service et qui repose sur des engagements : le respect des délais, la qualité et la fiabilité des données produites, etc.

Avancer pour de bon dans une démarche sécurité

Les quelques vues de tableaux de bord présentées lors de l’atelier et ces deux retours d’expérience montrent en quoi l’industrialisation du processus doit permettre de se concentrer sur les actions à valeur ajoutée pour le RSSI et la DSI, à savoir l’analyse et la communication.

Pour JPF, les principaux bénéfices retirés de la démarche au sein des Laboratoires Anios sont tout d’abord d’avancer et de concrétiser la démarche sécurité. De plus, l’utilisation d’un support et d’indicateurs offrent les avantages de la formalisation et de l’écriture : on se dote d’un support pour les comités sécurité et on évite ainsi de discuter sur la base d‘un ressenti non factuel. Les réunions n’en sont que plus constructives…

JFL, quant à lui, constate une réelle amélioration du pilotage et des actions de remédiation de la sécurité au sein d’AG2R La Mondiale. La démarche a permis la détection de nombreux quick wins. Au final cette approche va aider la DSI à valoriser sa capacité à mettre en place les actions de correction et d’amélioration d’un mois sur l’autre. En définitive, c’est une « une solution qui apporte de la visibilité... mais aussi de l’actionnabilité ».

Pour plus d’informations sur ces deux retours d’expérience, vous pouvez lire les études cas :

Piloter la démarche sécurité d'un géant de la protection sociale

Tableau de bord de pilotage de la sécurité opérationnelle

Sur le sujet des tableaux de bord sécurité, rendez-vous pour de prochains articles sur ce blog pour approfondir certains angles tels que les indicateurs agrégés pour la DG, le sens à donner aux indicateurs et aux plans d’actions, le pilotage d’un processus métier, etc.

Benjamin Leroux, Innovation & Marketing, Advens