Facteurs critiques de succès des programmes de sécurité de l'information

Üu cours des deux ou trois dernières années, l'augmentation rapide des cybermenaces a mis en alerte des fonctions commerciales, des secteurs économiques et même des pays entiers :

• Il y a quatre ans, pratiquement aucun directeur financier/directeur général des finances ne parlait des cyber-risques ; aujourd'hui, les directeurs financiers/directeurs généraux des finances les citent régulièrement comme l'une des menaces les plus inquiétantes1 .
• Il y a deux ans, la cybersécurité ne figurait même pas dans le top 10 des défis à relever par les entreprises énergétiques aux États-Unis. Aujourd'hui, les experts de l'industrie classent la cybersécurité parmi leurs quatre défis les plus urgents2 .
• Depuis 2010, le Royaume-Uni considère la cybersécurité comme une menace prioritaire pour la sécurité nationale, au même titre que le terrorisme, les conflits militaires et les catastrophes naturelles3 . En Suisse, les cyberattaques sont incluses dans la planification militaire4 .

La demande en retard est reconnue

Les organisations qui ont été sensibilisées à la cybermenace reconnaissent souvent qu'elles ont un retard important à rattraper et que des mesures correctives sélectives ne suffisent pas à compenser les échecs passés. Dans ces cas, des programmes de sécurité de l'information élaborés sont donc lancés, qui visent à éliminer les failles de sécurité de manière durable et sur un large front avec un portefeuille de projets sur une période de plusieurs années. Bien que de tels programmes soient souvent la bonne étape, leur succès dépend fortement de l'expérience de la direction du programme qui les gère.

Les conditions du succès

Cet article ne peut pas remplacer les méthodes de gestion établies telles que PRINCE2, MSP (Managing Successful Programs), MoP (Management of Portfolios) ou les normes PMI, mais vise uniquement à les compléter en ce qui concerne les particularités des programmes de sécurité de l'information. Pour ces programmes, l'expérience montre que, outre l'utilisation efficace des méthodes de gestion établies, cinq caractéristiques de la gestion des programmes en particulier sont essentielles à leur succès :

1. Réflexion stratégique
2. Expertise technique en matière de sécurité et de risques
3. Processus et réflexion organisationnelle
4. De solides compétences en matière de gouvernance et de communication
5. Intégrité absolue

Ces compétences en matière de leadership sont essentielles car la "sécurité de l'information" et le "risque" touchent des parties prenantes très larges, mais en même temps les concepts sont assez abstraits et "intangibles" pour beaucoup de gens. L'équipe de direction d'un programme de sécurité doit donc avoir des connaissances technologiques et posséder des compétences en gestion et en communication pour engager et diriger efficacement toutes les parties prenantes.

Les cinq facteurs de succès

La réflexion stratégique est importante car les programmes de sécurité commencent souvent par une prise de conscience générale du problème ou une vision. Cette vision doit être traduite en une stratégie qui indique clairement quelles sont les vulnérabilités en matière de sécurité et les risques associés, quelle solution est nécessaire, quels sont les critères de réussite et quels sont les coûts prévus. Une telle stratégie est une condition préalable à l'obtention d'un budget. La stratégie doit également être mise à jour en permanence pour assurer la continuité du programme. La continuité est un défi important, car les programmes de sécurité s'étendent souvent sur plusieurs années et doivent régulièrement être justifiés par rapport aux réductions budgétaires dans le contexte actuel des coûts.

Expertise technique Le succès d'un programme de sécurité ne consiste pas à installer des outils ou des technologies individuels. Le succès réside plutôt dans la réduction durable des risques de sécurité. Pour ce faire, il faut faire un choix intelligent en fonction du risque entre les technologies alternatives. Les technologies doivent être configurées correctement et elles doivent être intégrées dans des processus qui garantissent leur efficacité à long terme. Étant donné qu'en pratique, la certitude 100% n'existe pas, la direction du programme doit continuellement évaluer les alternatives et parvenir à des décisions optimales avec les différentes parties prenantes - en tenant toujours compte de la réduction des risques réalisable, des risques résiduels restants ainsi que des coûts et du temps nécessaires. Cela nécessite une expertise technique importante.

Processus et réflexion organisationnelle sont essentielles car les mesures de sécurité doivent être maintenues en permanence pour réduire efficacement les risques. Par exemple, un système de détection d'intrusion est de peu d'utilité si ses alarmes ne sont pas surveillées et si les règles utilisées pour détecter les attaques ne sont pas maintenues. La réflexion organisationnelle est importante car les technologies de sécurité sont souvent mises en œuvre à l'échelle mondiale et une solution efficace doit tenir compte des exigences des différentes zones géographiques ou divisions, telles que la législation nationale ou l'autonomie des divisions individuelles ou les incompatibilités avec les systèmes établis.

Une gouvernance forte et de solides compétences en matière de communication sont nécessaires car la sécurité implique de nombreux acteurs au sein d'une organisation. Il s'agit de divers services informatiques, de responsables de la sécurité et des risques, de l'audit, des divisions commerciales (dont les données sont concernées et qui peuvent également agir en tant que commanditaires), des enquêtes sur les fraudes, du service juridique et des responsables de la protection des données. Afin de faire les compromis décrits ci-dessus avec ces parties prenantes concernant les technologies, configurations ou connexions de processus alternatives, il faut des structures de gouvernance et une direction de programme efficaces qui puissent présenter les questions techniques de manière complète et compréhensible pour orienter les décisions. En l'absence d'une telle gouvernance, les programmes restent vulnérables lorsque les différentes parties prenantes ne sont pas d'accord avec les décisions. Bien que ce problème ne soit pas spécifique aux programmes de sécurité, il y est particulièrement prononcé en raison de la multiplicité des parties prenantes.

Intégrité absolue est une exigence obligatoire pour la direction des programmes, car ils peuvent influencer un grand nombre de décisions grâce à leur travail stratégique, leur expertise technique et leur communication avec diverses parties prenantes. La direction du programme doit donc être apolitique et toujours viser à faire ce qui est dans le meilleur intérêt de l'organisation.

Conclusion : utilisation de méthodes de gestion éprouvées

Les programmes de sécurité de l'information sont de plus en plus souvent lancés pour suivre l'escalade des cybermenaces. Comme pour tous les programmes, il est important d'utiliser des méthodes de gestion éprouvées telles que PRINCE2, MSP ou MoP. Les programmes de sécurité sont toutefois uniques à certains égards, dans la mesure où la "sécurité de l'information" et le "risque" touchent presque tout le monde dans une organisation, tout en étant abstraits et insaisissables. Cela représente un défi particulier pour les gestionnaires de programmes, notamment en ce qui concerne les cinq facteurs de succès mentionnés ci-dessus.