Notre chroniqueur Michel Juvin le reconnait : les entreprises en transformation sont promptes à s’interroger sur leur bonne gouvernance. En matière de cybersécurité, cette réflexion est aujourd’hui essentielle. Mais de quoi parle-t-on exactement ?
On n’entend trop souvent des définitions différentes de la gouvernance ; comme si celle-ci s’adaptait au contexte ou à la taille ou l’activité de l’entreprise. Je vous propose de reprendre la définition d’une gouvernance et de l’adapter à la gestion d’une organisation ou entreprise et voir comment elle peut s’appliquer au contexte de la cybersécurité.
C’est aussi une des questions que nous pose nos dirigeants, alors que beaucoup d’investissements sont engagés en cybersécurité avec des résultats incertains, afin qu’ils puissent comprendre comment appréhender le risque Cyber pour l’intégrer dans leurs décisions de management stratégique de l’entreprise.
Comment définir la gouvernance ?
Suivant la définition, la gouvernance est composée de deux instances différentes :
- L’une définit la mission, vision et trajectoire et l’exécute,
- L’autre vérifie que cette trajectoire est bien suivie et a l’autorité pour l’infléchir.
On peut aussi calquer cette définition avec celle d’une république démocratique qui possède deux entités distinctes : l’une préside, le gouvernement, élu par le peuple (normalement directement pour plus de démocratie) et agit suivant le programme pour lequel il a été élu. L’autre, l’Assemblée nationale en France, élue aussi par le peuple, contrôle que le gouvernement applique bien son programme. Sous la Vème république fondée par le Général de Gaulle, nous avons deux organismes de contrôle (sans doute pour une nécessaire stabilité) l’Assemblée nationale et le Sénat ainsi que des organisations de contrôle comme le conseil Constitutionnel et le Conseil d’Etat qui effectuent des vérifications sous d’autres angles. Ces organismes de contrôle rapportent aux Français via les médias ; donc au-dessus du Président de la république.
Par contre, en termes de démocratie, la France n’est pas bien positionnée dans l’échelle des républiques car l’utilisation du 49.3 permet de « bypasser » l’autorité des assemblées de contrôle (plus de détails sur le site de l’Élysée…), ce qui n’est pas acceptable à l’échelle de l’entreprise !
Pour ce qui nous concerne, il est nécessaire de faire quelques adaptations à cette définition tout en respectant ces principes.
L’Expert ou le Directeur cybersécurité doit définir sa mission, sa vision et son projet pour diminuer les risques de perte / fuite sur le capital informationnel et sur les applications et services de l’entreprise. Il doit aussi définir une autorité de contrôle qui rapportera à sa direction de manière indépendante.
Dans les faits, cette autorité de contrôle est multiple et elle doit être définie en parallèle de chaque projet ou action. Une synthèse de ces rapports de contrôle est publiée sous la forme d’un tableau de bords de cybersécurité. L’Expert ou directeur cybersécurité présentera des explications complémentaires à ces indicateurs.
La définition de la mission, la vision et les programmes de cybersécurité
La définition de la mission et la vision sont donc les deux premiers éléments qui vont fédérer les équipes opérationnelles (comme la politique auprès des membres du gouvernement) pour qu’elles agissent en cohérence et vers l’objectif. Le Directeur cybersécurité rédige son programme et le fait valider par son management (pour la démocratie française, ce sera le peuple). Pour rappel, le programme est issu d’une analyse de risque sur le capital informationnel et de ses actions pour réduire les risques par ordre d’importance pour l’entreprise.
La définition des moyens de contrôle
Mais comment définir les procédures de contrôles de l’application du programme alors que beaucoup d’acteurs sont impliqués dans ces procédures de vérification ?
Prenons deux exemples : l’IAM et le Patch Management
Un élément du programme du Directeur cybersécurité est la gestion des droits d’accès aux services informatiques et aux applications[1]. Le process Owner est la RH en coopération avec l’IT et le métier qui est le demandeur. Le contrôle vient d’une extraction de l’IT, revue par la RH et le responsable métier. Pour que la gouvernance soit effective, un rapport est publié régulièrement et viendra automatiquement alimenter le tableau de bords cybersécurité à destination du management. Le rôle du Directeur Cybersécurité est alors de s’assurer que cette procédure est correctement appliquée et ne bénéficie pas d’exception (comme le 49.3 !).
Deuxième exemple, la maintenance en condition opérationnelle des systèmes et services informatiques. Basée sur l’application régulière des patchs de sécurité publiés par les fournisseurs de solutions informatiques utilisées, le Directeur cybersécurité doit procéder de la manière suivante :
- Définir une politique de cybersécurité comportant un objectif[2] en matière de maintien en condition opérationnel,
- Définir un Standard[3] de cybersécurité qui décline l’objectif de la politique en faits précis ; comment, quand et sur la base de quels critères[4] on applique les patchs de sécurité,
- Et ajouter (si possible dans le Standard) comment on contrôle le bon fonctionnement dudit Standard de l’application des patchs de sécurité et qui est en charge du contrôle (normalement le Directeur Technique).
Le contrôle de ce programme est un rapport est automatiquement émis à destination du tableau de bords de cybersécurité contenant la liste de tous les assets de l’entreprise triés par importance et sensibilité avec l’écart entre la date de publication de l’éditeur et la date de mise en œuvre sur l’asset. Cette information permet de mesurer une des surfaces d’attaque de l’entreprise.
L’assistance du contrôle interne au service du reporting
Faisant suite à la réglementation Sarbanes-Oxley promulguée en 2002 pour les sociétés cotées au NYSE (le New York Stock Exchange, NDLR), de nombreuses entreprises ont mis en place des cellules de contrôle interne pour être en mesure de confirmer la certification SOX devenue obligatoire. Le principe du contrôle interne est de positionner au plus près de l’action, un mécanisme de reporting effectué par le responsable de l’action et supervisé par une personne du management. Cette réglementation a remis au goût du jour la nécessité de définir une gouvernance d’entreprise pour garantir un pilotage moins sensible aux ambitions personnelles et financières et, effectuant des rapports de gouvernance comme dans le cadre de l’article 404 « Management Assessement of Internal Controls » qui impose de contrôler le bon fonctionnement des procédures de management.
Pour ce qui concerne la gouvernance de la cybersécurité, ce principe de contrôler au plus près de l’action est exactement ce qu’il faut mettre en place pour assurer un reporting automatique vers l’organisme de contrôle qui est rattaché au management de l’entreprise.
Dans la définition des moyens de contrôles du programme de réduction des risques, le Directeur cybersécurité doit s’appuyer sur les ressources du Contrôle Interne (ou le définir pour ce qui le concerne s’il n’existe pas) pour chaque procédure de sécurité : qui sera en charge d’effectuer les contrôles et quels sera le mode de reporting automatique qui alimentera le tableau de bords cybersécurité global de l’entreprise.
La nécessité de prendre un peu de recul
Comme pour la gouvernance d’une entreprise qui repose sur les rapports d’Audit qui sont adressés au plus haut niveau de l’entreprise, la définition de la gouvernance de la cybersécurité doit être effectuée en amont de la stratégie de cybersécurité et nécessite de prendre un peu de recul pour bien documenter ses actions et son programme. La définition de la gouvernance de la cybersécurité permet aussi d’avoir les bases pour évaluer le niveau de cyber-maturité de l’entreprise. Le Modèle CMMI l’assistera dans la mise en place de ces principes. La section de Montréal de l’ISACA en particulier, présente très bien l’intérêt de la gouvernance.
Cela nécessite aussi de présenter à la Direction générale ce mécanisme de gouvernance pour s’assurer qu’ils pourront être l’autorité de contrôle et avoir la possibilité d’infléchir le programme du Directeur cyber rapidement en cas de divergence par rapport à l’objectif : la diminution des risques cybers.
[1] IAM pour gestion des identités et des accès
[2] L’objectif est mesuré en temps d’exposition aux risques (temps d’application des patchs et temps de résolution des incidents), pourcentage de machines et ordre d’importances des machines à patcher
[3] Pour mémoire, les Politiques et les Standards sont à appliquer obligatoirement
[4] Ici, il faut identifier les types d’OS et middleware qui sont à patcher par 3 catégories d’application : automatique, dans un environnement de test et sous forme d’un projet (cas des upgrade de version par exemple)