|
Une méthode pouvant s'utiliser en souplesse avec SE.
Comment s'y prendre face aux risques ?
Il est important de comprendre l’usage de Self-Expert par rapport à EBIOS, qui se présente, dans sa nouvelle version, comme un outil complet de gestion des risques. Et qui fait aujourd'hui figure de référence en France, dans les pays francophones et à l'international.
Nous n’exposerons ici que les aspects de forte complémentarité entre les deux approches. La présentation complète d’EBIOS étant accessible sur le site de l’ANSSI http://www.ssi.gouv.fr/.
(Les citations tirées de la documentation EBIOS sont colorées en bleu)
Qu’est-ce que EBIOS ?
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'apprécier et de traiter les risques. Elle fournit également tous les éléments nécessaires à la communication au sein de l'organisme et vis-à-vis de ses partenaires, ainsi qu'à la validation du traitement des risques.
La nouvelle version d'EBIOS
Historiquement, la rigueur très professionnelle de la méthode d’analyse EBIOS pour la sécurité des systèmes d’information lui a valu l’image d’un outil réservé aux seuls experts en SSI.
Si, bien sûr, le profil d’outil pour l’expert reste vrai dans la nouvelle version EBIOS, il ne s’en limite pas là aujourd’hui. L’accent est mis sur l’aspect gestion des risques autant que sur la démarche d’analyse, en élargissant son champ d’application à tous les domaines de risques d’entreprise.
Et surtout, EBIOS s’adapte aux différents besoins d’analyse et traitement des risques avec une grande souplesse, jusque-là ignorée.
L'adoption de démarches et d’outils de prise de décision rationnelle et de gestion de la complexité apparaît aujourd'hui comme une condition nécessaire à la sécurité de l'information. Il convient pour cela d'utiliser des approches de gestion des risques structurées, éprouvées, tout en prenant garde aux illusions de scientificité et à la manipulation de chiffres, offertes par de nombreuses méthodes.
Ce sont ce pragmatisme et cet élargissement du champ d’usage d’EBIOS qui incite SE Conseil à considérer cette méthode avec intérêt dans le cadre d’usage de Self-Expert.
C’est cet intérêt d'usage que nous allons positionner maintenant par rapport au logiciel Self-Expert.
Le cas de démarrage d’un plan d’action de mise en œuvre de Politique Sécurité
|
Avec l’émergence de solutions telles que Self-Expert, il apparaît que deux « écoles » de gestion des risques pourraient s’opposer. Ce serait un malentendu.
Le malentendu se résumerait ainsi : « J’agis tout de suite, ou j’analyse d’abord ? ». Concernant l’appréhension des risques, l’importance de l’évaluation préalable des risques est, bien évidemment, prépondérante.
Devant un danger, l’homme évalue le risque et prend sa décision ensuite. Soit il va le fuir, soit il le contournera, l’affrontera, ou l’ignorera selon le résultat de l’analyse. Dans le pire des cas, si le danger s'avère écrasant, ou si l'individu se retrouve dans une forte confusion, ce dernier tombera dans l’apathie et il n’y aura pas d’analyse du tout. Mais il ne fera rien non plus. (Ce dernier cas de figure est malheureusement trop fréquent).
La question ne se pose pas en ces termes pour positionner les solutions Self-Expert et la méthode EBIOS.
|
 |
Le but de Self-Expert avec son référentiel SE
Le responsable de la sécurité des informations dispose d’emblée, avec le tableau de bord Self-Expert, du cadre opérationnel de la mise en œuvre de sa politique Sécurité, avec un référentiel assez complet et exhaustif de mesures à traiter.
Il le personnalisera en fonction du contexte, des objectifs qu'on lui a assignés ou qu'il s'est fixé au regard des moyens et ressources dont il dispose. Il peut réduire, compléter,détailler, décliner. Ceci avec les facilités qu’apportent les fonctions d’un logiciel bien conçu.
Bien sûr, il est conseillé de faire une étude préalable des enjeux et des risques avant de se lancer dans les projets.
Et c’est déjà à ce premier niveau qu’il est pertinent, voire fortement conseillé, de faire intervenir une méthode telle que EBIOS, qui est parfaitement adaptée à l’étude complète de la problématique.
Hélas, les réalités sont là ! Et fort de constater que les choses ne se passent pas toujours ainsi ! SE Conseil a étudié la place que prennent les différents niveaux de dispositifs de sécurité dans les systèmes d'information (voir l'article de ce site "Le chaînon manquant"). Il est rare que l'on aborde la mise en oeuvre des dispositifs de sécurité dans le bon ordre !
C'est pourquoi SE Conseil a été amené à développer sa propre méthode Self-Expert, adaptée à l'usage du logiciel SE, fruit de plusieurs années de R&D dans ce domaine; pour des considérations de stratégie, et même de pilotage, avant les mises en oeuvre.
La méthode d'analyse empirique de Self-Expert
Dès les premières actions avec Self-Expert, le chemin de la mise en conformité est engagé grâce à son tableau de bord, dont les indicateurs sont en attente de passer au rouge ou au vert. L'état des indicateurs est déterminé par le seuil de tolérance du risque de chacun des points de conformité, seuil évalué par le responsable de la politique de sécurité interne.
Cette déclinaison doit être faite avec une certaine persistance. Les résultats sont indéniables lorsque l'on s'y applique.
|
|
Mais ne nous y trompons pas : L'appréciation méthodique des risques et des enjeux est une exigence de la sécurité qui requiert parfois une technicité plus grande que ne peut apporter Self-Expert, qui n'est pas un outil d'analyse de risques à proprement parler.
Les méthodes d'analyse élaborées renforcent alors la démarche de Self-Expert. L'utilisation complémentaire de méthodes expertes dénote un engagement plus grand dans le professionnalisme de la sécurité.
Le Responsable de la Sécurité des Systèmes d'Information (RSSI), et le Manager des risques savent, par exemple, pratiquer ces méthodes. Et EBIOS est certainement l'une de ces méthodes d'analyse des risques les plus éprouvées en la matière.
La méthode Self-Expert vise seulement à permettre au non spécialiste de décliner de façon simple et globale sa politique sécurité, et d'aborder sereinement sa mise en conformité. Les priorités des plans peuvent être alors revues et affinées selon la stratégie du décideur.
|
C'est à cet autre niveau d'action que peut intervenir EBIOS. Et de préciser même qu'elle s'harmonise particulièrement bien avec le logiciel Self-Expert. Car EBIOS est adaptée pour s'utiliser tout le long du cycle de réalisation et de mise en conformité de la politique interne. Cette dernière étant rendue applicable à l'échelle de la gouvernance grâce à Self-Expert.
Le cas des bonnes pratiques au quotidien du professionnel de la Sécurité
A ce stade, nous n'avons pas besoin de nous étendre dans de longues explications. Chaque point de conformité du tableau de bord Self-expert représente une cible de sécurité pouvant faire l'objet d'un projet de mise en oeuvre. Son appréciation des risques à un niveau professionnel s'impose.
De même, chaque dossier du tableau de bord Self-Expert regroupe des fiches constituées de points de conformité. Il constitue un domaine sécurité en soi. Ce domaine doit faire l'objet d'une analyse des risques. Et son traitement sera très avantageusement optimisé par l'utilisation d'EBIOS.
Demander une présentation de Self-Expert
et... nous précisons ici qu'il existe un Club EBIOS !
|
Nos offres