Le vrai défi des PME 

Dans la majorité des organisations de taille moyenne ou petite, l'enjeu n'est pas tant le manque de volonté mais plutôt la difficulté à appréhender objectivement le risque cyber. Pourquoi ? - Parce que les menaces sont aussi diverses que diffuses, ce qui rend a priori le sujet complexe et (trop) technique. Et peut être aussi (souvent...) car il n'est adressé que sous la pression de partenaires, clients ou régulateurs. 

ISO 27001 apporte une méthode pour sortir de la confusion. En résumé: se mettre d'accord sur les enjeux spécifiques de l'entreprise (périmètre), identifier ce qui compte vraiment (actifs informationnels), comprendre ce qui pourrait mal tourner (analyse des risques) afin de décider quoi faire et comment (traitement des risques). Simple, non ? 

Ok, il faut un peu d'expérience pour trouver la bonne granularité des scénarios de risques et un peu de pratique pour formaliser l'approche. Mais j'ai souvent vu des projets se transformer en longues listes de contrôles. Alors que le vrai moteur de la conformité, c'est l'évaluation des risques. Pas besoin d'implémenter une mesure de sécurité pour la seule raison qu'elle existe  si elle ne fait pas de sens dans le contexte de l'organisation. Autrement dit, si elle ne sert pas à diminuer un risque identifié en tant que tel. 

En tant que consultant, cette approche m'a permis de structurer ce que je faisais souvent de manière intuitive. Et d'apporter à mes clients une vision claire des priorités, plutôt qu'un empilement de recommandations. 

Une décision stratégique 

Il n'en demeure pas moins que l'implémentation d'un système de management de la sécurité de l'information (SMSI) certifié ISO 27001 reste une décision stratégique de l'organisation. A mon avis pour trois raisons principales: 

• Les objectifs de sécurité doivent être alignés en fonction de la mission de l'entreprise. ➡️ Seul le top management peut définir le niveau d'engagement approprié. 

• Un SMSI est un processus, pas un projet. Il s'agit de l'intégrer sans heurts dans l'organisation et de communiquer de manière appropriée sur sa raison d'être. ➡️ L'IT ne peut pas "s'auto-légitimer", il lui faut le soutien de la Direction. 

• Enfin, comme pour tout autre processus, les résultats doivent être contrôlés. ➡️ C'est là aussi au top management qu'il appartient d'évaluer la performance. 

Objections fréquentes 

On ne va pas se mentir, certifier l'entreprise ISO 27001 n'est vraisemblablement pas l'initiative qui va déclencher la plus grande motivation au sein des équipes. Je termine ce post avec quelques objections que j'entends parfois et les réponses que j'y oppose: 

⏱️ "Ça va être lourd et chronophage!" 

Certes le projet d'implémentation n'est pas une mince affaire.... Mais le temps passé à répondre aux questionnaires de sécurité des clients ou partenaires est également chronophage et n'apporte aucune amélioration à l'interne. Si nous implémentons un SMSI bien adapté à la mission de l'entreprise ET aux attentes des clients, le gain se matérialise pour les deux parties. 

💸 Ça ne rapporte rien en chiffre d'affaires! 

OK, mais perdre des affaires au profit de concurrents certifiés non plus... 

🐵 On est trop petit et on doit rester agile ! 

Correct, raison pour laquelle il est important de bien cibler les risques à traiter plutôt que de se lancer à l'aveugle dans l'implémentation de contrôles inadaptés. 

Et une de mes favorites : 

🤷 On a jamais eu de problème, pourquoi maintenant ? 

C'est vrai que de le faire après ou durant une situation de crise semble être une bonne idée... 

Plus sérieusement, l'implémentation d'un SMSI a justement pour but d'anticiper les risques et d'en minimiser les impacts. Soit d'augmenter la cyber résilience. Force est de constater qu'un seul incident de sécurité aura suffi à faire disparaître certaines entreprises mal préparées. Si on veut se donner une seconde chance, autant ne pas repousser ce sujet plus longtemps. Et vous ? Comment abordez-vous la cyber résilience dans votre organisation ? Avez-vous déjà envisagé une approche structurée comme ISO 27001, ou l'avez-vous mise en place ? Je serais curieux de connaître vos retours d'expériences ou vos obstacles. Parlons-en !