À l’heure où maîtrise du SI et conformité sont au coeur des préoccupations des décideurs, les DSI sont fréquemment sollicités sur le niveau de sécurité effectif de leur périmètre. Pourtant, peu d’entre eux disposent aujourd’hui du seul outil qui leur permettrait de répondre à tout moment à cette question : un dispositif de contrôle permanent, pertinent et efficace.
Il est rare pour un DSI de passer plus de quelques jours sans être interrogé sur le niveau de confiance qu’il accorde à son SI . Devenu comptable de la sécurité de la majorité des informations et des outils des métiers, il doit pouvoir à tout moment rassurer sur ce point, et bien souvent indiquer comment il compte améliorer encore ce niveau de sécurité.
Car l’importance de la sécurité du SI pour l’entreprise est désormais une évidence : en tant que support des processus métiers, le SI embarque naturellement de nombreux dispositifs de contrôle essentiels à la fiabilité des informations (contrôles d’intégrité, référentiels, contrôle des accès, etc.). Cependant, le SI induit également des risques propres (interruptions de services, corruption de données, divulgation d’informations, etc.), d’autant plus critiques qu’ils sont transverses : lorsqu’ils sont avérés, ils peuvent rapidement toucher tous les processus métiers supportés par le SI.
Aussi, pour répondre à l’inquiétude légitime liée à ces risques, les audits de sécurité ont été généralisés depuis plusieurs années, permettant de vérifier régulièrement que le système audité correspond toujours au niveau de sécurité attendu. Mais ces audits ponctuels restent insuffisants pour garantir à tout instant le niveau de sécurité du SI , puisqu’ils sont généralement réalisés à une fréquence relativement faible (pour un système donné).
Par ailleurs, ils se limitent bien souvent à fournir un « instantané » des faiblesses existantes, et n’incluent que trop rarement une analyse de la maturité des processus qui pourrait garantir dans le temps la réduction systématique des risques. C’est notamment pour combler cette lacune qu’il est aujourd’hui nécessaire de passer au contrôle permanent.

Le contrôle interne et son application à la sécurité du SI

L’objectif du contrôle permanent de la sécurité du SI consiste à fournir, à tout moment, une évaluation de son niveau de sécurité actuel. Pour y parvenir, il conjugue les méthodes classiques de l’audit de sécurité (allégées afin de les rendre applicables à l’exhaustivité du SI), et l’analyse des processus contribuant à la sécurité du SI.
Inutile de revenir ici sur les audits de sécurité, qui font désormais partie de la « boîte à outils » classique des DSI. En revanche, les processus de gestion du SI qui contribuent à garantir sa sécurité sont un sujet d’étude intéressant : bien qu’ayant inspiré de nombreuses initiatives ces dernières années (via des démarches ITIL, CMI ou ISO 27001 selon les thèmes adressés) ils sont souvent insuffisamment exploités pour permettre aux DSI de s’engager sereinement sur le niveau de sécurité de leur SI.
À ce stade, un parallèle intéressant peut être effectué avec le domaine comptable, parmi les plus matures en la matière. En effet, pour obtenir une assurance suffisante que les états financiers présentés en fin d’année sont fiables et sincères, l’auditeur financier ne peut raisonnablement vérifier « sur pièces » et de façon exhaustive que tous les événements de gestion sont correctement enregistrés. Il complète donc ces contrôles ponctuels par une revue des procédures qui encadre tout au long de l’année la façon dont ces événements sont enregistrés.
Ces procédures constituent une part importante du dispositif de « contrôle interne financier », dont on peut s’inspirer pour définir la notion de « contrôle interne informatique ». Plus largement, le contrôle interne est défini comme le « processus, mis en oeuvre par l’ensemble de l’entreprise, visant à disposer d’une assurance raisonnable quant à l’atteinte des objectifs fixés ». Rien n’empêche de l’appliquer à d’autres objectifs que la fiabilité des états financiers : objectifs opérationnels, conformité à la réglementation… ou bien encore sécurité du SI !

Le contrôle interne « sécurité du SI » se compose donc de l’ensemble des processus, procédures et responsabilités nécessaires pour assurer que les évolutions et opérations touchant le SI permettent d’améliorer, ou au moins ne pas dégrader, le niveau de sécurité existant. Concrètement, on peut citer à titre d’exemples les procédures de vérification des sauvegardes, de la base de signatures antivirus déployée sur les postes de travail ou les procédures de gestion des habilitations… autant d’éléments aujourd’hui couramment déployés au sein des organisations.
Il ne reste plus alors qu’à s’assurer que ces processus sont opérationnels pour franchir une nouvelle étape en matière de pilotage de la sécurité du SI, et passer à un dispositif de contrôle permanent. Pratiquement, il est enfin possible de disposer en continu d’une évaluation du niveau de sécurité d’un système, c’est-à-dire de la situation entre deux photographies « instantanées » établies via des audits ponctuels.