Accueil > Technologies numériques > Cybersécurité > Gouvernance des SI : impliquer les métiers dans la sécurité de l’entreprise

Gouvernance des SI : impliquer les métiers dans la sécurité de l’entreprise

Publié le 17 août 2023

La gestion des risques cyber est désormais portée au plus haut niveau de l’entreprise, sous la forme d’une gouvernance de la sécurité des systèmes d’information. Son rôle : piloter et organiser la sécurité de l’information, tout en impliquant les métiers. Stéphane Garreau, expert en cybersécurité et management des systèmes d’information, détaille ce concept de gouvernance de la sécurité de l’information.

Illustration article gouvernance cybersécurité

Le risque cyber est actuellement considéré comme l’un des risques principaux menaçant les entreprises, qui mettent donc en place des mesures spécifiques destinées à piloter plus efficacement leurs politiques de sécurité de l’information. Ces mesures sont formalisées au sein d’une gouvernance spécifique. Pilotée d’un point de vue opérationnel par le RSSI, responsable de la sécurité de l’information au sein de l’entreprise, la gouvernance doit pourtant embarquer l’ensemble des métiers de l’entreprise. En quoi consiste-t-elle concrètement ? Comment mettre en place une gouvernance de la sécurité des systèmes d’information ? Quelles sont les différentes responsabilités dans la gouvernance de la sécurité de l’information ? Voyons cela en détail.

En quoi consiste la « gouvernance de la sécurité des systèmes d’information » ?

Piloter les politiques de sécurité de l’information

« La gouvernance désigne l’ensemble des solutions organisationnelles qui permettent d’adresser les risques de sécurité de l’information et de piloter la sécurité de l’information », explique Stéphane Garreau, consultant en cybersécurité & management des systèmes d’information et formateur ORSYS. Elle constitue en général l’un des pans de la politique de sécurité du système d’information (PSSI).

Concrètement, la mise en place d’une gouvernance de la sécurité de l’information au sein d’une organisation consiste à :

  • Définir le rôle joué par chacun au sein de l’organisation, en particulier celui du RSSI.
  • Créer des instances (des comités de sécurité informatique, par exemple) ou participer à des instances.
  • Mettre en place un ensemble de politiques et de procédures qui décrivent la façon dont l’organisation répond aux risques de cybersécurité.

Améliorer la gouvernance pour réduire les risques de sécurité

L’objectif premier d’une gouvernance de sécurité de l’information est de réduire les risques. « Cela passe par le pilotage de projets techniques visant à réduire les risques de sécurité, la mise en place d’actions d’amélioration des processus et la création d’une culture de la cybersécurité via des actions de sensibilisation et de formation des salariés », détaille Stéphane Garreau.

Une mauvaise gouvernance est susceptible de générer davantage d’incidents ou de cyberattaques, des vols de données, avec des impacts financiers, des conséquences sur l’image de l’entreprise ou encore des problèmes de conformité. « Il existe des liens étroits entre la gouvernance de la sécurité de l’information et la gestion des risques de manière globale. Les risques cyber ont pris peu à peu une place très importante dans la gestion des risques. De son côté, celle-ci a apporté un cadre au pilotage de la cybersécurité », ajoute l’expert.

Adresser les questions de conformité

« Aborder la question de la gouvernance de la sécurité de l’information permet de traiter également les questions de conformité », explique Stéphane Garreau. « Plusieurs cadres réglementaires comportent des obligations en matière de cybersécurité », notamment le RGPD (qui exige que des mesures soient prises pour assurer la sécurité des données à caractère personnel) et la norme PCI DSS (relative à l’hébergement de données bancaires).

Comment mettre en place une gouvernance de la sécurité de l’information ?

Élargir la question de la gouvernance au triptyque « détection/réponse/continuité »

« Définir et mettre en place une gouvernance de sécurité de l’information s’effectue via différentes phases : analyse de l’existant, évaluation des risques et formulation de propositions destinées à améliorer les standards en place », explique Stéphane Garreau. La gouvernance est formalisée et se décline au sein de la  PSSI et de procédures opérationnelles détaillées.

« La cybersécurité a fondamentalement évolué depuis 15 à 20 ans, période à laquelle elle consistait essentiellement à se protéger contre les cyberattaques », note l’expert. « Aujourd’hui la gouvernance de la sécurité de l’information comporte toujours une forte dimension de protection, mais elle s’est élargie à la détection des incidents, à la réponse et à la continuité d’activité. Des processus, des ressources, des plans de remédiation et de communication sont donc élaborés et ajustés au regard de ce nouveau triptyque, dans une démarche d’amélioration continue. Évaluer la qualité d’une gouvernance passe par une mesure de la réduction des risques (nombre d’incidents, fréquence, impacts, qualité de réponse de la part de l’organisation, etc.).

S’appuyer sur les normes et référentiels

D’un point de vue méthodologique, les normes ISO constituent des cadres utiles et très répandus pour la mise en place d’une gouvernance de la sécurité de l’information : ISO 27001, ISO 27014 (spécifique à la gouvernance du SI) ou encore ISO 27002 (très connue et utilisée dans le cadre de la gestion des risques de sécurité informatique).

Au-delà des normes ISO, de nombreuses entreprises s’appuient sur les outils du NIST (National Institute of Standards and Technology) : la Special Publication 800-53 et le Cybersecurity Framework.

Cybersecurity framework

Se former à l’implémentation d’une gouvernance

Si les entreprises peuvent tout à fait améliorer ou mettre en place une gouvernance seules, elles risquent toutefois de se heurter au manque de ressources compétentes sur ces sujets. Comment mettre en place un pilotage de la sécurité de l’information efficace dans un contexte où les ressources manquent ? « Les ressources externes sont elles-mêmes fortement sollicitées. Former ses équipes à la gestion des risques et aux questions de conformité représente une bonne réponse à la pénurie de talents », conseille Stéphane Garreau. Une fois formées, les équipes peuvent ensuite accompagner leur entreprise vers la certification en sécurité des systèmes d’information.

Gouvernance du SI : une responsabilité partagée entre direction générale, RSSI et utilisateurs

Responsabilité stratégique, responsabilité opérationnelle : un équilibre à trouver

La gouvernance de la sécurité de l’information est de plus en plus portée au niveau de la direction générale. Ce portage permet d’obtenir une priorisation et des moyens adéquats. « Le meilleur moyen d’y parvenir est d’aborder l’enjeu de la cybersécurité via les objectifs business et l’impact des risques cyber sur la continuité d’activité. La responsabilité opérationnelle est toujours portée par le RSSI, mais sous la responsabilité ultime de sa direction générale », note Stéphane Garreau. Le RSSI tient ici un rôle particulier. Trait d’union entre des équipes opérationnelles et des équipes qui ne sont pas techniques, il endosse un rôle de communicant, de pédagogue, et doit transformer une matière très technique pour qu’elle soit comprise et assimilée par les différents métiers.

Quid du DSI dans tout cela ? « Il reste un interlocuteur fondamental dans tout ce processus », répond Stéphane Garreau, qui explique que tout l’enjeu consiste à « impliquer les métiers dans la sécurité informatique, sans trop l’éloigner des techniciens ».

Former et sensibiliser les utilisateurs pour créer une culture de la cybersécurité

« Former les utilisateurs, les sensibiliser aux risques cyber (e-learning, campagnes d’entraînement au phishing, par exemple) et leur rappeler les bonnes pratiques fait également partie de la gouvernance de la sécurité de l’information et conditionne la montée en responsabilité des utilisateurs », ajoute Stéphane Garreau. « Mettre en place une gouvernance de la sécurité de l’information, c’est également faire en sorte que la sécurité soit bien prise en compte à tous les niveaux et dans tous les processus de l’entreprise, le plus tôt possible. Cela fait écho au concept de security by design », renchérit l’expert.

La gouvernance de la sécurité des systèmes d’information s’inscrit dans une démarche de gestion et de réduction des risques. Destinée à piloter efficacement les politiques de sécurité, elle porte également sur la sensibilisation des collaborateurs et l’implication de l’ensemble des métiers pour réduire les risques cyber. La mise en place d’une gouvernance de sécurité des systèmes d’information s’appuie sur des normes et référentiels dont la maîtrise s’avère nécessaire pour bien les implémenter. Face à la pénurie de professionnels qualifiés en cybersécurité, la formation représente l’une des meilleures options.

Notre expert

Stéphane GARREAU

Cybersécurité

Ingénieur de l’École Centrale Paris et certifié en sécurité des systèmes d’information (CISSP et CCSK), […]

domaine associé

Cybersécurité

formations associées

Implémenter et gérer un projet ISO 27001:2022

Responsable système de management de sécurité de l'information (ISO 27001-2013) (BV-RSMSI), certification Bureau Veritas

Sécurité des Systèmes d'Information, synthèse