Comment élaborer une bonne stratégie de sécurité informatique
Les stratégies de sécurité sont essentielles pour réduire l'exposition des entreprises et repousser les menaces internes et externes. Problème, très peu d'organisations prennent le temps d'en élaborer.
Les stratégies de sécurité informatique sont essentielles pour les spécialistes de la sécurité qui s'efforcent de réduire le profil de risque des entreprises et de repousser les menaces aussi bien internes qu'externes.
Le problème est que très peu d'organisations prennent le temps et la peine d'élaborer des stratégies dignes de ce nom ; elles préfèrent télécharger des exemples trouvés sur le Web et copier-coller ce qui leur semble adapté. Le désordre qui en résulte n'est bon pour personne et peut souvent générer des problèmes inattendus dans l'entreprise.
Le National Health Service (NHS), système de santé britannique, est un excellent exemple à la fois de bonne et de mauvaise stratégies de sécurité informatique.
Cette énorme organisation diffuse et consomme à la fois de très grandes quantités d'informations très confidentielles, quotidiennement, donc ceux qui manipulent ces données doivent, à juste titre, mettre en place des stratégies de sécurité informatique qui font l'objet d'un audit annuel.
En février et mars, d'un bout à l'autre du pays, les responsables de la gouvernance de l'information (IG) des sociétés fiduciaires du NHS et divers autres prestataires de soins de santé regroupent l'ensemble des informations, également appelé « IG Toolkit » (boîte à outils pour la gouvernance de l'information), qu'ils devront envoyer au ministère de la Santé pour son audit.
La boîte à outils pour la gouvernance de l'information définit les niveaux de service du NHS
L'IG Toolkit s'inspire vaguement de la norme ISO 27001 et son utilisation est obligatoire pour toutes les organisations faisant partie du NHS, ainsi que pour les autres entités désireuses de fournir des services dans le cadre du système NHS. Il couvre les principaux domaines de la gouvernance et de l'assurance :
- Gestion de la gouvernance de l'information
- Confidentialité et assurance de la protection des données
- Assurance de la sécurité informatique
- Assurance des informations cliniques
- Assurance des données de l'entreprise
Le principal domaine de focalisation est l'assurance de la sécurité informatique. Il est intéressant de noter que l'assurance de la sécurité informatique représente environ un tiers des exigences, la note annuelle portant sur l'ensemble de ces exigences combinées.
Pour qu'une organisation réussisse son audit et obtienne une mention « satisfaisant », elle doit obtenir une note de 2 pour chacune des exigences (chaque exigence est notée de 0 à 3). Si l'organisation n'obtient pas ces notes minimums, elle ne pourra pas être agréée pour fournir des services au NHS. Il est donc évident que l'échec de cet audit aura une répercussion importante pour toute organisation qui fournit actuellement des services ou souhaite le faire à partir du 1er avril 2013.
Bien que l'IG Toolkit soit très bien établi dans le domaine d'intervention du NHS – il en est à sa 10e année d'utilisation –, les sociétés fiduciaires du NHS ont encore besoin de compétences spécialisées en gouvernance de l'information pour s'y retrouver dans les méandres de la boîte à outils, et les organisations hors NHS qui l'utilisent pour la première fois sont très vite dépassées.
Une grande partie des problèmes découlent de l'interprétation des exigences et de l'environnement spécialisé dans lequel opère le NHS. Il est certain qu'il est beaucoup plus facile de présenter une demande lorsqu'on bénéficie de connaissances et d'une expérience internes au système NHS.
Les stratégies de sécurité informatique sont supposées être lues, comprises et appliquées par tous les membres du personnel de l'organisation.
Stratégies et procédures de sécurité informatique
Sans surprise, les stratégies et procédures de sécurité informatique constituent l'essentiel des données qui doivent être présentées. De peur d'être accusées de dilapider des ressources publiques limitées en réinventant continuellement la roue, les sociétés fiduciaires ont l'habitude d'emprunter les documents qui présentent ces stratégies et procédures à des voisins compréhensifs. Cela ne pose pas de problème jusqu'à ce que ces stratégies soient soumises à un audit.
L'examen approfondi des stratégies de sécurité informatique a très vite montré clairement que le secteur public avait une manière spécifique et inhabituelle de traiter ces documents. Ainsi les pages 35 à 45 exposent une stratégie typique du NHS en donnant des précisions incroyables sur toutes sortes de détails insignifiants, notamment des descriptions ésotériques des supports de câbles à utiliser dans les datacenters.
Cela montre une méconnaissance fondamentale du public visé par ces documents. Ils ne s'adressent pas aux professionnels IT chargés d'installer ou de surveiller les systèmes informatiques du NHS ; ces documents sont plutôt censés être lus, compris et appliqués par tous les membres du personnel de l'organisation.
Ceux qui ont produit ces documents ont totalement oublié à qui ils s'adressaient, constat aggravé par le fait que ces mêmes documents (légèrement modifiés chaque fois qu'une société fiduciaire différente y inscrivait son nom) ont été utilisés dans les copies comme des modèles de ce que doit contenir la stratégie.
Cette situation est insensée et une nouvelle approche est nécessaire.
Elaboration d'une stratégie structurée et accessible
Je suggère d'aborder chaque stratégie de sécurité informatique en posant d'abord un certain nombre de questions clés :
- Quels sont les objectifs visés par cette stratégie ? S'agit-il simplement de cocher des cases ou d'apporter une valeur réelle ?
- Ai-je aligné ma stratégie sur la formation sur la gouvernance de l'information que je suis susceptible de dispenser par la suite ?
- Ai-je aligné ma stratégie sur les objectifs commerciaux de l'organisation ?
- La stratégie est-elle fondée sur des règlements et/ou une législation, ou vise-t-elle plutôt à donner des orientations sur les bonnes pratiques ?
- Quel est le public visé par cette stratégie ?
- Quel est le minimum absolu d'informations dont il a besoin ? Dois-je réellement mettre tous les détails dans cette stratégie, ou vaut-il mieux les donner dans l'énoncé des impératifs de sécurité propres à un système (SSRS) destiné aux professionnels IT ?
- Quel est le format le plus approprié pour présenter ces informations au public visé ?
- Quels sont les principaux messages que je veux qu'il retienne ?
Après avoir répondu à ces questions et réfléchi en se plaçant du point de vue de l'utilisateur, on est souvent en mesure de ramener les stratégies de 45 à 6 pages, y compris les pages obligatoires du titre et de la section « Evaluation des incidences sur l'égalité des chances » (qui sont obligatoires dans ce type de documents du NHS).
L'essence d'une bonne stratégie
- Elaborez une stratégie la plus concise possible.
- Adaptez-la au public visé.
- Alignez-la sur les besoins de l'entreprise.
- Alignez-la sur le cadre législatif et réglementaire dans lesquels vous opérez.
- Ne sous-estimez pas son importance en cherchant simplement à « cocher les cases », car cette stratégie doit apporter de la valeur ajoutée aux employés, ainsi qu'aux résultats et comportements que vous cherchez à promouvoir
Généralement, une stratégie de sécurité informatique comprend les sections suivantes :
- Contrôle des documents
- Emplacement des documents
- Historique des révisions
- Approbations
- Distribution
- Historique des documents
- Demandes de renseignements
- Introduction et objet
- Champ d'application
- Vos responsabilités
- Nos responsabilités
- Où chercher plus d'informations
- Evaluation des incidences sur l'égalité des chances
Cette présentation permet d'élaborer un document plus structuré et accessible.
Je conçois que vous puissiez penser que j'ai écarté certains éléments clés en les traitant dans des documents distincts, à charge pour l'utilisateur de se les procurer et de les lire, mais je suis quand même convaincu que c'est la bonne voie à suivre.
Peut-être êtes-vous également étonné que je ne parle pas des mots de passe ou d'autres aspects de la sécurité informatique, mais c'est parce que les autres points importants de la sécurité seront traités dans les règles de bon usage et d'utilisation d'Internet et de la messagerie, les actifs de données corporels dans la politique du bureau vide, et ainsi de suite.
Communication des stratégies au personnel
Outre que vous devez demander aux membres du personnel de lire, signer et approuver tous les documents, il est essentiel de s'assurer qu'ils les ont effectivement lus et ont bien compris les stratégies en question. Le meilleur moyen d'y parvenir est de dispenser une formation efficace et ciblée sur la gouvernance afin de renforcer les messages et de rendre les stratégies concrètes grâce à des exemples locaux et actuels.
Il est important de prendre suffisamment de temps pour rendre la formation adaptée et accessible à tous les participants afin qu'ils en sortent avec la détermination d'appliquer les règles de sécurité informatique plutôt qu'avec l'impression qu'on leur a fait boire de force une potion amère et qu'ils n'ont rien appris d'intéressant.
La gouvernance de l'information est un énorme domaine, et les utilisateurs ne peuvent pas avaler ce gros morceau en une fois, ils doivent le faire par petits bouts.
Dans le sens le plus large, la formation de sensibilisation doit informer les utilisateurs sur le large champ d'application de la gouvernance de l'information ; ils doivent savoir qu'elle couvre la collecte appropriée de données, l'utilisation appropriée, la qualité des données, la gestion des dossiers, l'archivage et la destruction sécurisée, le respect de la vie privée, la confidentialité, l'utilisation appropriée des systèmes informatiques fournis par l'entreprise, l'utilisation appropriée des réseaux sociaux, et ainsi de suite. Chaque domaine a ses propres documents de stratégie, dont la taille et le champ peuvent de la même manière être réduits au strict minimum afin que les utilisateurs ne soient pas accablés par leurs responsabilités.
Le document de stratégie est exactement cela : un simple exposé de la position de l'entreprise sur le sujet traité (le « pourquoi »), à ne pas confondre avec le document sur les procédures qui explique « comment » la stratégie doit être appliquée. Inévitablement, les documents sur les procédures sont parfois beaucoup plus longs lorsqu'ils décrivent des processus complexes qui doivent être suivis. Les stratégies de sécurité spécifiques aux systèmes et les procédures correspondantes mentionnées ci-dessus appartiennent généralement à cette catégorie.
Idéalement, la stratégie doit être brève et aller à l'essentiel en ce qui concerne les responsabilités des utilisateurs relatives aux informations qu'ils recueillent, utilisent, consultent ou traitent d'une manière ou d'une autre. Elle doit également leur indiquer où trouver les autres stratégies et procédures concernant les domaines dans lesquels ils travaillent. Rien ne justifie, par exemple, que l'on inflige à un brancardier un traité sur l'utilisation du système d'administration des patients alors qu'il n'aura jamais besoin d'y accéder.
En suivant ces idées, vous devriez être capable d'élaborer une excellente stratégie de sécurité informatique, mais surtout vous aurez des employés déterminés à prendre soin des actifs de votre organisation.