14 juin 2019
Bien qu’en charge de la sécurisation du système d’information, le RSSI n’est pas obligatoirement imprégné des processus organisationnels qui sous-tendent l’activité de sa DSI, du fait d’un parcours professionnel qui peut être différent de ses collègues DSI.
Est-ce problématique ? Comment en effet parvenir à améliorer la sécurité du SI ? Faut-il au préalable améliorer la maturité des pratiques DSI ? Ces deux objectifs sont-ils totalement disjoints ? Ou sont-ils mutuellement inclusifs, à la manière du Yin et du Yang ? Eclairages.
La sécurité de l’information peut bénéficier d’une organisation de DSI en phase avec les meilleures pratiques ITIL® (« Information Technology Infrastructure Library ») et les 25 processus de ce référentiel*.
Ainsi, un processus de gestion des vulnérabilités – et un processus de gestion des incidents de sécurité, tous deux non référencés dans ITIL® v3- pourront se greffer efficacement sur Incident Management & Problem Management pour la partie traitement, sur Event Management pour la partie détection, et sur Change Management pour l’implémentation des correctifs.
Mais quelle description le RSSI ou consultant SSI devra-t-il donner de ces processus de gestion des vulnérabilités / incidents de sécurité ? Là encore, ITIL® rappelle les meilleures pratiques liées à la définition des processus. Ceux-ci doivent obligatoirement comprendre :
À l’inverse, quels sont les apports de la sécurité de l’information pour ITIL® ? Certes, produire une valeur via les services IT implique d’apporter une utilité aux clients (domaine métier). Mais également de fournir un certain nombre de garanties de fourniture de ce service. C’est là où interviennent les 4 processus Availability Management, Continuity Management, Capacity Management, Information Security Management (les 3 premiers étant plutôt focalisés sur la disponibilité de l’information, le dernier couvrant l’ensemble des critères de sécurité D/I/C/P).
D’autres irruptions de la sécurité sont possibles (et encouragées) :
Est-il prérequis qu’une organisation adopte les meilleures pratiques ITIL® pour pouvoir améliorer son niveau de sécurité de l’information ? La réponse est non …même si cela aiderait grandement ! Cette organisation (qu’elle soit ITILienne ou pas) devrait en tout cas considérer l’introduction de la sécurité de l’information aux niveaux stratégique, tactique et opérationnel, le tout en démarrant bien entendu par la démarche fondatrice qu’est l’analyse de risque sécurité.
* Ces derniers sont systématiquement indiqués en anglais italique, pour les distinguer les processus non ITIL®