À l’heure où maîtrise du SI et conformité sont au coeur des préoccupations des décideurs, les DSI sont fréquemment sollicités sur le niveau de sécurité effectif de leur périmètre. Pourtant, peu d’entre eux disposent aujourd’hui du seul outil qui leur permettrait de répondre à tout moment à cette question : un dispositif de contrôle permanent, pertinent et efficace.
Il est rare pour un DSI de passer plus de quelques jours sans être interrogé sur le niveau de confiance qu’il accorde à son SI . Devenu comptable de la sécurité de la majorité des informations et des outils des métiers, il doit pouvoir à tout moment rassurer sur ce point, et bien souvent indiquer comment il compte améliorer encore ce niveau de sécurité.
Car l’importance de la sécurité du SI pour l’entreprise est désormais une évidence : en tant que support des processus métiers, le SI embarque naturellement de nombreux dispositifs de contrôle essentiels à la fiabilité des informations (contrôles d’intégrité, référentiels, contrôle des accès, etc.). Cependant, le SI induit également des risques propres (interruptions de services, corruption de données, divulgation d’informations, etc.), d’autant plus critiques qu’ils sont transverses : lorsqu’ils sont avérés, ils peuvent rapidement toucher tous les processus métiers supportés par le SI.
Aussi, pour répondre à l’inquiétude légitime liée à ces risques, les audits de sécurité ont été généralisés depuis plusieurs années, permettant de vérifier régulièrement que le système audité correspond toujours au niveau de sécurité attendu. Mais ces audits ponctuels restent insuffisants pour garantir à tout instant le niveau de sécurité du SI , puisqu’ils sont généralement réalisés à une fréquence relativement faible (pour un système donné).
Par ailleurs, ils se limitent bien souvent à fournir un « instantané » des faiblesses existantes, et n’incluent que trop rarement une analyse de la maturité des processus qui pourrait garantir dans le temps la réduction systématique des risques. C’est notamment pour combler cette lacune qu’il est aujourd’hui nécessaire de passer au contrôle permanent.
Le contrôle interne et son application à la sécurité du SI
L’objectif du contrôle permanent de la sécurité du SI consiste à fournir, à tout moment, une évaluation de son niveau de sécurité actuel. Pour y parvenir, il conjugue les méthodes classiques de l’audit de sécurité (allégées afin de les rendre applicables à l’exhaustivité du SI), et l’analyse des processus contribuant à la sécurité du SI.
Inutile de revenir ici sur les audits de sécurité, qui font désormais partie de la « boîte à outils » classique des DSI. En revanche, les processus de gestion du SI qui contribuent à garantir sa sécurité sont un sujet d’étude intéressant : bien qu’ayant inspiré de nombreuses initiatives ces dernières années (via des démarches ITIL, CMI ou ISO 27001 selon les thèmes adressés) ils sont souvent insuffisamment exploités pour permettre aux DSI de s’engager sereinement sur le niveau de sécurité de leur SI.
À ce stade, un parallèle intéressant peut être effectué avec le domaine comptable, parmi les plus matures en la matière. En effet, pour obtenir une assurance suffisante que les états financiers présentés en fin d’année sont fiables et sincères, l’auditeur financier ne peut raisonnablement vérifier « sur pièces » et de façon exhaustive que tous les événements de gestion sont correctement enregistrés. Il complète donc ces contrôles ponctuels par une revue des procédures qui encadre tout au long de l’année la façon dont ces événements sont enregistrés.
Ces procédures constituent une part importante du dispositif de « contrôle interne financier », dont on peut s’inspirer pour définir la notion de « contrôle interne informatique ». Plus largement, le contrôle interne est défini comme le « processus, mis en oeuvre par l’ensemble de l’entreprise, visant à disposer d’une assurance raisonnable quant à l’atteinte des objectifs fixés ». Rien n’empêche de l’appliquer à d’autres objectifs que la fiabilité des états financiers : objectifs opérationnels, conformité à la réglementation… ou bien encore sécurité du SI !
Le contrôle interne « sécurité du SI » se compose donc de l’ensemble des processus, procédures et responsabilités nécessaires pour assurer que les évolutions et opérations touchant le SI permettent d’améliorer, ou au moins ne pas dégrader, le niveau de sécurité existant. Concrètement, on peut citer à titre d’exemples les procédures de vérification des sauvegardes, de la base de signatures antivirus déployée sur les postes de travail ou les procédures de gestion des habilitations… autant d’éléments aujourd’hui couramment déployés au sein des organisations.
Il ne reste plus alors qu’à s’assurer que ces processus sont opérationnels pour franchir une nouvelle étape en matière de pilotage de la sécurité du SI, et passer à un dispositif de contrôle permanent. Pratiquement, il est enfin possible de disposer en continu d’une évaluation du niveau de sécurité d’un système, c’est-à-dire de la situation entre deux photographies « instantanées » établies via des audits ponctuels.
De l’audit ponctuel au contrôle permanent de la sécurité du SI
Le contrôle permanent consiste en effet à s’assurer très régulièrement, à une fréquence bien plus élevée que les audits, que le contrôle interne « sécurité du SI » est pertinent et efficace. Or, en choisissant judicieusement quelques points de contrôle basés sur les procédures de contrôle interne existantes, on peut facilement évaluer ces deux dimensions de pertinence et d’efficacité, et ainsi s’engager sur la dérive qu’aura pu connaître un système depuis la dernière situation connue.
Par exemple, si un audit a déterminé que les habilitations d’un système étaient conformes en date du 1er janvier, en vérifiant régulièrement (chaque mois par exemple) que les procédures de gestion des habilitations sont correctement appliquées, on pourra affirmer avec un risque négligeable que les habilitations au 31 décembre sont toujours conformes. Certes, cette assertion restera moins sûre que celle fournie par un audit approfondi, auquel le contrôle permanent ne prétend pas se substituer, mais simplement apporter un complément en fournissant des indications sur ce qui se passe entre deux « instantanés ».
Ainsi défini, le contrôle permanent est séduisant, car il permet de façon apparemment simple, d’obtenir des résultats opposables à l’échelle d’une entreprise en termes d’évaluation du niveau de sécurité et d’exposition aux menaces sur le SI . Mais naturellement, le diable se cache dans les détails et les vraies difficultés apparaissent lorsqu’il s’agit de définir la réalité du processus de contrôle, son périmètre, l’organisation associée, etc. Et plus encore lorsqu’il s’agit d’établir le plan d’évolution vers le Graal que l’on a ainsi fait miroiter aux clients de la DSI. Tout d’abord, comment définir la cible à viser pour le dispositif de contrôle permanent ? Quel « modèle » de contrôle, quelle organisation, quels contrôles pour chaque niveau… autant de questions qui peuvent laisser perplexes. Un maître mot doit alors guider le responsable : construire en s’appuyant sur les organisations et pratiques existantes.
Adapter l’organisation du dispositif au contexte
Quel modèle d’organisation retenir ? Ou plus exactement : comment positionner le contrôle permanent dans l’organisation existante ? En fonction du contexte de l’organisation concernée (réglementaire, organisationnel, etc.), deux modèles principaux sont à considérer : à deux ou trois niveaux. Le contrôle permanent de la sécurité, qui s’inscrit dans la démarche globale de contrôle interne, suit le même modèle.
- Le niveau 1 comprend les contrôles réalisés au quotidien par les équipes opérationnelles elles-mêmes (remontées d’indicateurs, contrôles techniques et méthodologiques, etc.). Intégré à leurs procédures et processus réguliers, selon le principe de « l’autocontrôle », il est souvent largement automatisé et industrialisé.
Il s’agit par exemple de s’assurer que les infections virales sont maîtrisées par consultation quotidienne des logs et reporting au niveau d’une console centrale, de revoir de manière régulière les droits utilisateurs d’une application, de s’assurer que l’application des correctifs de sécurité s’effectue en accord avec la politique de sécurité, etc.
- Le niveau 2 comprend les contrôles permettant d’une part de vérifier la validité des contrôles de niveau 1 effectués par les opérationnels ; et d’autre part, de faire le lien avec la maîtrise des risques métiers et stratégiques : c’est le niveau des « contrôles de conformité ».
Il s’agit, par exemple, de vérifier que les contrôles de droits d’accès sont effectivement menés et suivis de mesures correctives, de conduire des revues des tests PCA, etc.
Le niveau 2 est réalisé par une équipe indépendante des équipes opérationnelles, et idéalement indépendante de la DSI. Il peut s’agir de la « filière contrôle », en charge du fonctionnement du dispositif de contrôle interne au sein de l’entreprise ou, par délégation, de la filière sécurité (RSI) : par exemple une cellule « contrôles » rattachée au RSSI , agissant par délégation de la Direction du contrôle interne ou de la Direction de l’audit et des risques.
- Le niveau 3 est en charge des contrôles périodiques, généralement diligentés par une entité externe au contrôle permanent : Inspection générale, Contrôle général, etc. Il intègre également les audits externes.
Dans le secteur bancaire où les dispositifs de contrôle sont largement développés, car imposés par la réglementation, les trois niveaux existent le plus souvent. Dans d’autres secteurs, les fonctions de niveau 2 et 3 peuvent ne pas être dissociées ou être réalisées par les mêmes équipes.
Quatre processus concrets à mettre en oeuvre
Quels processus mettre en oeuvre pour définir et faire vivre le dispositif de contrôle interne ? Pour répondre à cette question, il est utile de s’inspirer des démarches d’amélioration continue qui tendent à se généraliser dans tous les domaines : quatre processus majeurs émergent alors.
Le premier de ces processus vise à définir le périmètre du contrôle permanent : quels objectifs (de contrôle) assigner au dispositif, et par lesquels commencer ?
Ce choix doit être réalisé en prenant en compte notamment la réglementation s’appliquant à l’entreprise, les référentiels qu’elle utilise, mais en considérant également des critères liés aux actifs à protéger : actifs critiques, spécifiquement menacés, faisant l’objet d’incidents ou d’attaques répétés. Le choix du périmètre ciblé en priorité peut aussi s’appuyer dans un premier temps sur le « ressenti terrain » des experts sécurité et des équipes opérationnelles, ou bien sur les analyses de risques réalisées. Dans tous les cas, il convient de fixer une cible réaliste, adaptée à la maturité de son organisation. Car tenter de déployer des centaines de contrôles alors que la DSI en est encore à l’élaboration de ses premières procédures relève de l’acharnement stérile : mieux vaut alors l’accompagner, en insistant sur les quelques points de sécurité majeurs.
En parallèle, il est utile de définir le dispositif de pilotage de la démarche de contrôle permanent, et plus largement sa gouvernance, dans le cadre du modèle d’organisation défini plus haut : qui fixera les objectifs, définira les contrôles au sein des différents niveaux, les réalisera ? Et surtout, quels seront les indicateurs utilisés pour suivre le niveau de sécurité du SI par ce biais, et à qui s’adresseront-ils ?
Les deux processus suivants sont très similaires dans leurs objectifs : définir concrètement et réaliser les contrôles. Seul leur positionnement varie, l’un étant en charge des contrôles de niveau 1, l’autre de ceux de niveau 2. Compte tenu des fortes relations entre ces deux niveaux, on conçoit aisément qu’il soit préférable de les traiter en parallèle.
Première étape : choisir les contrôles à effectuer. Ceci peut être réalisé à l’aide de référentiels méthodologiques pour disposer des mêmes techniques et échelles d’évaluation pour l’ensemble des contrôles. L’utilisation de référentiels de mesure partagés entre métiers et IT (COBIT par exemple) est souvent mise en avant. En effet, utiliser un référentiel reconnu comme COBIT, qui dépasse le seul domaine de la sécurité SI, permet de fédérer plus facilement les approches existantes comme ITIL ou CMMI. Il permet également de mettre en relation le niveau de sécurité des moyens informatiques mis en oeuvre avec les enjeux business. Enfin, cela permet bien souvent de faciliter les échanges avec le niveau 3, les auditeurs SI (internes ou externes) basant souvent leurs travaux sur ce référentiel.
Pour autant, les contrôles doivent rester pragmatiques et proches des réalités opérationnelles, et il est préférable de ne pas se baser uniquement sur des référentiels. Ainsi, pour les contrôles de niveau 1 notamment, il est souvent utile de les définir de manière conjointe avec les opérationnels, et ainsi d’insérer les contrôles dans les processus existants, élément clé de réussite de la démarche. Plus pragmatiquement, la démarche de contrôle permanent de la sécurité peut être initiée simplement en formalisant et structurant les pratiques existantes.
Deuxième étape : définir l’outillage pratique associé, et notamment les procédures et fiches de contrôles, qu’il est indispensable de formaliser pour assurer l’homogénéité de la démarche au sein de l’organisation. Ces documents doivent légitimer les contrôles menés, en présentant les objectifs et la démarche retenue.
A ce stade, des réflexions plus techniques sur les outils techniques à mettre en oeuvre pour réaliser les contrôles doivent être menées : ces outils contribuent à l’automatisation des contrôles, donc à leur fiabilité, mais surtout ils permettent d’augmenter le nombre de contrôles sans générer une charge de travail décorrélée des enjeux.
Enfin, le dernier processus vise à assurer le suivi du contrôle permanent. Le maintien dans le temps de l’efficacité du dispositif implique la mise en place d’un suivi régulier et un reporting adapté aux différents niveaux hiérarchiques, qui doit répondre à trois objectifs :
- mesurer le niveau de sécurité du SI et la qualité des contrôles au moyen d’échelles de mesures communes ;
- piloter la démarche sécurité en identifiant les chantiers d’amélioration ;
- tenir les décideurs informés en alimentant les tableaux de bord sécurité du SI.
Insuffler une culture de contrôle
Si bien conçu soit-il, le succès du dispositif de contrôle permanent passe par un véritable changement de culture, qui doit faire l’objet d’un accompagnement particulier : chacun doit, à son poste, être conscient de ses responsabilités quant au niveau de sécurité du SI. La cible idéale est claire : le contrôle permanent (de niveau 1) doit in fine être totalement intégré aux processus opérationnels ; dit autrement, les opérationnels doivent considérer les contrôles comme une composante ordinaire de leurs activités. Pour cela, la trajectoire de mise en oeuvre doit faire l’objet d’une attention particulière.
Première étape vers cette cible, comme tout projet transverse d’entreprise, le dispositif de contrôle permanent de la sécurité doit bénéficier d’un appui fort de la Direction générale en termes de légitimité et de ressources allouées à sa mise en oeuvre. Aussi, faut-il commencer par mobiliser la Direction générale en expliquant que, sans contrôles réguliers, le RSI ne dispose pas d’indicateurs pertinents pour justifier sa stratégie sécurité et les budgets engagés pour couvrir les risques.
La seconde étape est encore plus concrète, puisqu’il s’agit de définir la « montée en puissance » du dispositif. La cible finale des contrôles étant définie, deux approches concurrentes sont possibles : choisir un domaine et le traiter exhaustivement ou bien, au contraire, choisir des points de contrôle répartis sur différents domaines. Cette seconde approche a l’avantage de commencer à sensibiliser toutes les équipes, sans les solliciter excessivement.
Dans les deux cas, cette montée en charge doit être progressive, Il faut compter plusieurs années pour installer un dispositif de contrôle permanent complet et « industrialisé » : les lots et leur déploiement doivent intégrer cette donnée, pour atteindre des objectifs concrets rapidement, et ainsi éviter « l’effet tunnel » ou la démotivation devant l’ampleur des actions à mener.
Une première phase pilote (cadencée, par exemple, sur une première année) peut être l’occasion de développer la culture de contrôle au sein des différentes entités et de familiariser l’entreprise avec la réalisation de contrôles permanents à grande échelle.
Le choix des thèmes et périmètres des « contrôles pilotes » doit être opéré en fonction des activités critiques de l’entreprise, en ciblant si possible des périmètres démonstratifs pour interpeller les décideurs : dans un premier temps, pour faire réagir et sensibiliser la Direction, il est intéressant de réaliser une prise de mesure sur des sujets que l’on suppose mal maîtrisés (par exemple la gestion des habilitations).
Une autre approche consiste à choisir des périmètres fonctionnels suffisamment délimités pour permettre aux acteurs d’appréhender complètement la démarche et de s’investir à la hauteur de leurs moyens sur un nombre limité de points de contrôle. De ce point de vue, privilégier dans un premier temps les domaines d’excellence de la DSI est le meilleur moyen pour créer la dynamique nécessaire.
Faire adhérer rapidement l’ensemble des acteurs
Une fois le périmètre de « contrôles pilotes » défini, les équipes opérationnelles (relais sécurité et entités contrôlées) doivent être accompagnées dans la réalisation des contrôles. L’appui de la Direction est certes essentiel pour initier la démarche de mise en oeuvre d’un dispositif de contrôle permanent, mais il est tout aussi important de faire adhérer rapidement l’ensemble des acteurs impliqués dans la réalisation et le suivi des contrôles en communiquant sur l’organisation et sur les résultats des « contrôles pilotes ». L’objectif à moyen terme est de créer une dynamique dans laquelle les entités deviendront pleinement acteurs des contrôles et solliciteront directement la filière SSI pour réaliser des contrôles sur des périmètres perçus comme faiblement sécurisés ou sensibles.
Pour faciliter la conduite du changement, il convient de :
- Communiquer « positivement » sur le dispositif mis en place : la démarche de contrôle permanent n’est pas définie dans un objectif répressif, mais bien en vue d’améliorer la sécurité du SI et peut présenter de réels avantages pour les équipes : déclenchement de financement de plans d’améliorations de la sécurité, amélioration de la sécurité et donc de la qualité de service sur leur périmètre, etc.
Par ailleurs, un message simple peut être transmis aux porteurs de contrôles : « vous faites du contrôle permanent depuis des années sans le savoir ; cette démarche contribue à mettre en évidence la qualité de votre travail ».
- Porter une attention particulière à la formalisation de recommandations applicables. Car le dispositif de contrôle permanent doit permettre des relations constructives avec les équipes contrôlées : ces contrôles doivent donc favoriser des recommandations opérationnelles, concrètes, allant au-delà du simple constat d’absence de procédure.
- Ne pas négliger la charge nécessaire au suivi et à la mise en oeuvre des plans d’action : il est difficile d’assurer un réel suivi de l’ensemble de recommandations émises dans le cadre des contrôles (plusieurs centaines par an). Aussi, il convient d’isoler annuellement quatre ou cinq actions critiques au niveau de l’entreprise et de s’en occuper en priorité. C’est également le rôle de la filière Sécurité d’identifier les actions critiques, de les suivre et de susciter des décisions de la Direction pour lancer de grands projets sécurité.
S’appuyer sur les retours d’expérience
À l’issue de la phase de réalisation des « contrôles pilotes », un retour d’expérience doit être réalisé, afin d’identifier les réussites et les faiblesses de la démarche et de mettre en évidence les axes d’amélioration pour les évolutions futures du plan de contrôle.
Ce retour d’expérience doit porter aussi bien sur la démarche globale de contrôle (organisation, pilotage et moyens mis en oeuvre) que sur chaque contrôle individuellement, et s’appuie sur différentes sources d’information : interviews de certaines entités qui ont participé à la réalisation des contrôles (adhésion à la démarche, accompagnement des équipes, attentes pour les évolutions futures, etc.), étude de la pertinence des résultats remontés au regard de la charge réelle associée à la mise en oeuvre de chaque contrôle, etc. Il doit mettre en évidence l’efficacité des différents contrôles (thèmes et périmètres organisationnels) et permettre d’arbitrer sur les contrôles qu’il est opportun de maintenir, abandonner ou faire évoluer.
Avec l’extension du périmètre, il s’agira ensuite de définir et de mettre en oeuvre des outils pour faciliter l’industrialisation du plan de contrôle : collecte des informations auprès des équipes opérationnelles, suivi des plans d’actions, reporting, etc. Toutefois, même en phase d’industrialisation, pour poursuivre la démarche d’amélioration continue et de réévaluation de l’efficacité du dispositif, il est important de continuer la formalisation de retours d’expérience à intervalles réguliers (par exemple tous les ans). En effet, le contrôle permanent ne mesure bien entendu que ce pour quoi il a été conçu. Et il doit lui-même être mis sous contrôle et à cet effet, il est essentiel de maintenir une démarche de réalisation d’audits périodiques.
D’un point de vue opérationnel, le contrôle permanent peut être perçu comme un nouveau niveau de contraintes et de règles fastidieuses à respecter. Ce serait malheureusement occulter l’apport de ce dispositif à mettre en évidence les contributions de chacun dans une démarche d’amélioration du niveau de sécurité du SI. Or il s’agit là, comme chacun sait, de la meilleure incitation possible à la performance… Il conviendra donc de s’en souvenir chaque fois que la résistance au changement remettra en cause la motivation collective à avancer vers ce but commun !
lun, 23/11/2009 - 14:25 | 
amg
