Pour être efficace et impactante, une analyse des risques SI ne doit pas être vue comme un exercice ponctuel mais plutôt comme une activité à inscrire dans le temps. Dans cette partie (la der des der !), nous allons voir ensemble comment faire vivre l’analyse, mais avant de nous lancer dans le “Comment”, répondons d’abord au “Pourquoi”.
L’organisme que vous souhaitez protéger, ainsi que les contextes interne et externe dans lesquels il évolue, sont soumis à des changements inévitables. Ces changements peuvent être mineurs ou majeurs et touchent aussi bien les actifs que les parties prenantes.
Prenons (encore et toujours) l’exemple de notre assureur “Mistral”, spécialiste des bateaux. Dans le but d’élargir son portefeuille d’offres, l’entreprise a racheté, il y a 6 mois, une start-up nommée “Zéphyr” spécialisée dans l’assurance vie pour les marins professionnels (changement majeur). Afin de rationaliser les infrastructures IT, les serveurs historiques de Mistral ont été désinstallés et tous les modèles de tarification tournent désormais sur le matériel (plus puissant) de Zéphyr (changement mineur).
Le cœur d’activité et des actifs de l’entreprise étant modifiés, l’analyse de risques préalablement étudiée s’en trouve forcément (et fortement) impactée. Il est alors nécessaire de l’adapter – et rapidement – afin de couvrir ces nouveaux changements.
Les systèmes d’information et la sécurité sont deux mondes spécifiques utilisant des “jargons” qui leur sont propres. Le premier challenge est donc d’adapter la communication au public visé. Par exemple, le plan de traitement ne sera pas présenté de manière identique aux équipes opérationnelles responsables de sa mise en œuvre et au directeur financier. L’important est que les risques, leurs causes, leurs impacts et leurs remédiations soient compris par tous.
Une bonne communication est primordiale de la première à la dernière étape de votre analyse. Vous en retirerez de nombreux avantages, tels que la transparence, la crédibilité et l’adhésion. Cela facilitera également la concertation en cas de décision cruciale. Enfin, cela permettra d’atteindre plus facilement les objectifs liés à l’analyse des risques.
Pour leur élaboration, nous vous conseillons vivement de suivre les commandements de la règle d’or “SMART” :
S.pécifiques : clair, précis et compréhensible dans les formulations des actions tu seras ;
M.esurables : qualifier ou quantifier les actions tu pourras ;
A.ccesibles : atteignables, des actions tu définiras ;
R.éalistes : pertinent et adapté au contexte tu seras ;
T.emporels : des dates butoirs tu planifieras.
De plus, veillez à répondre au minimum aux questions suivantes :
Quelles sont les motivations et les objectifs de cette analyse des risques et de la sécurité de l’information au sens large ?
Quels sont les principaux problèmes et freins en lien avec la sécurité de l’information, aujourd’hui rencontrés par l’organisme ?
Quels sont les principaux messages à véhiculer ? Qui sont les publics ciblés et comment optimiser les canaux de communication ?
Combien de temps faut-il pour déployer la stratégie définie ?
Pour conclure, une communication récurrente permet de tracer l’ensemble des décisions prises. Les enregistrements serviront de preuves en cas de litiges et constitueront la base de l’amélioration continue (promis, on en parle très bientôt).
En résumé :
ne négligez surtout pas la communication dans vos analyses des risques SI. Elle vous apportera transparence, crédibilité et adhésion ;
des plans de communication interne et externe sont nécessaires pour communiquer sur votre analyse, de son démarrage à sa clôture ;
SMART, SMART, SMART, SMART... C’est bon, je pense que vous avez désormais retenu l'acronyme magique !
