Lors de la partie précédente, vous avez appris à rédiger une PSSI pour fixer une cible à atteindre en matière de sécurisation du SI, des personnels et de l’organisation. Validé par la direction, ce document précise en particulier les exigences et les règles de sécurité à appliquer pour atteindre cette cible. Vous trouverez la version finale de la PSSI disponible par ici.
Comprenez l'importance du plan de mise en œuvre
Dans cette partie, je vous propose de voir comment les entreprises mettent en œuvre la PSSI au travers d’une méthodologie d’action, une forme de plan de mise en œuvre.
En quoi cette mise en oeuvre est importante pour moi ?
En tant que responsable du SI et rédacteur de la PSSI, c’est votre rôle de la faire vivre. Vous êtes garant de son suivi et de son application, de ses améliorations et de son évaluation.
Quand vous avez élaboré la PSSI, peut-être avez-vous remarqué que le nombre de règles est assez élevé.
Cette démarche a plusieurs effets néfastes :
un glissement de responsabilité. Elle fait peser sur les utilisateurs et les acteurs externes au SI un effort considérable ;
une implication budgétaire difficile à gérer. Les contraintes financières éventuelles (achat de matériels pour mise en conformité, par exemple) ne pourront pas être étalées dans le temps ;
une application incertaine. Le risque majeur est finalement de perdre de vue l’objectif même de la PSSI : être réellement appliquée au profit des équipes et du SI.
Ces raisons militent pour une mise en œuvre progressive de la PSSI au travers d’un plan opérationnel de mise en œuvre. Cet outil contribue à contrôler la déclinaison de la PSSI, car il permet :
à des jalons figés, de décider quelles mesures doivent être conduites, et de le communiquer ;
de mesurer l’avancée de la mise en œuvre. À ce titre, il constitue un outil de suivi de projet pour le manager ou responsable SSI, mais également de communication vers la direction.
Concrètement, l’élaboration d’un plan d’action SSI se construit en 4 étapes :
Fixer les responsables des règles à mettre en place (Quoi et Qui).
Évaluer les ressources requises (Comment).
Prioriser les objectifs de déclinaison opérationnelle des règles, à des jalons prédéterminés.
Faire valider la méthodologie et sa déclinaison par la direction.
Détaillons ces étapes ensemble !
Étape 1 : Fixez le quoi et le qui du plan
Cette première étape a pour objet d’identifier les acteurs en charge de l’application des règles. Ce travail est assez aisé à réaliser en croisant :
pour chaque règle, la catégorie de biens concernée qui se trouve dans la PSSI, d’une part ;
pour chaque catégorie ainsi identifiée, le ou les acteurs déterminés dans le bilan inventaire des biens à protéger, d’autre part.
Étape 2 : Évaluez les efforts nécessaires
Avant de déterminer l’ordre dans lequel les règles vont être échelonnées dans le temps, il faut mesurer les ressources nécessaires à leur mise en place.
Pour réaliser ce travail, vous devez collaborer avec chaque acteur identifié dans l’étape précédente, afin de :
déterminer les ressources financières (achat de matériels ou de logiciels) et humaines (charge de travail) ;
mesurer l’état d’avancement de règles déjà mises en place (le cas échéant).
Étape 3 : Priorisez les règles à mettre en place
Cette étape consiste à vous interroger sur les priorités à fixer dans la mise en place des règles de sécurité.
Tout d’abord, il convient de fixer les échéances et les jalons. Les contextes des structures peuvent varier significativement. Toutefois, choisir des échéances à 6 mois peut être une bonne base de départ.
Ensuite, il faut déterminer quelles règles sont à mettre en œuvre dans la première échéance. Pour cela, il vous sera nécessaire de vous poser les questions suivantes :
Parmi les règles qui ne sont pas déjà mises en place, quelles sont celles qui nécessitent le moins de ressources ?
Quelles sont les règles que l’on peut facilement (à moindres coûts financier et humain) mettre en œuvre ?
Une règle répond-t-elle à un problème urgent ?
Est-ce que la mise en place (même partielle) des règles qui mitigent un risque évalué à "fort" peut être envisagée ?
Reprenons le cas de notre laboratoire !
Après quelques mois de travail, Marc a validé la PSSI que vous lui avez soumise et vous charge, en relation avec les autres services du laboratoire, de mettre sur pied un plan de mise en œuvre. Vous proposez à Marc une démarche itérative et échelonnée dans le temps, avec une première échéance à 6 mois.
Vous dressez ainsi les objectifs de cette première échéance :
Étape 4 : Faites valider la méthodologie par la direction
Comme pour l’élaboration de la PSSI, l’implication de la direction dans la mise en œuvre du plan doit être marquée.
Pour réaliser ce travail, une réunion où le RSSI présente les enjeux, les risques et la première itération du plan constitue une excellente piste.
Pour cette dernière étape, vous devrez donc communiquer le document aux utilisateurs et acteurs du SI, afin de mettre en œuvre le plan.
Dans ce chapitre, vous avez appris à construire un plan de mise en œuvre de la PSSI. Je vous propose dans le suivant d’aborder son cycle de vie.
En résumé :
l’intégralité des exigences et règles de la PSSI ne peuvent pas être mises en place au même rythme : il faut prévoir des jalons ;
un plan d’action est donc élaboré en 4 étapes :
fixer les responsables des règles à mettre en place (Quoi et Qui),
évaluer les ressources requises (Comment),
prioriser les objectifs de déclinaison opérationnelle des règles, à des jalons prédéterminés,
faire valider la méthodologie et sa déclinaison par la direction.