Tom Ascroft, Chief Information Security Officer, Unit4
Les politiques de sécurité de l’information sont désormais incontournables pour toute entreprise de taille significative, mais elles se résument encore trop souvent à un imbroglio de listes de contrôle détaillant des politiques génériques. Les RSSI reconnaissent désormais l’importance d’un document décrivant la politique de sécurité de l’entreprise, au-delà d’un simple support de référence pour conclure des transactions ou réussir un processus d’audit. Un document de politique peut encourager les bonnes pratiques, aiguiser les attitudes et apporter une réelle valeur ajoutée.
Or, si un document de politique de sécurité vaut généralement un peu plus que le papier sur lequel il est rédigé, il est tout aussi vide de sens. Souvent, il repose sur l’utilisation d’un modèle standard et contient un mélange de jargon technique et juridique. Peu de personnes prennent le temps de le lire attentivement, et les informations pertinentes sont difficilement identifiables.
Il peut être difficile de rassembler tous les documents nécessaires. Prenons l’exemple de Unit4. À une époque, l’entreprise disposait d’une multitude de politiques disparates ; cette situation n’était probablement guère exceptionnelle par rapport à d’autres grandes entreprises en phase de croissance, qui avaient accumulé différentes approches en matière de directives de sécurité à la suite de fusions et d’acquisitions. L’approche de la conformité fondée sur des normes telles que ISO 27001 et d’autres avait été correctement mise en œuvre ; toutefois, elle était disparate, car différents services au sein de l’entreprise disposaient de leur propre certification, avec un champ d’application limité, conduisant à une situation complexe. Toutefois, à force de collaboration et de bonne volonté, mon équipe est parvenue à simplifier et unifier les champs d’application de la certification, et ainsi, à élaborer 21 points de politique succincts – en anglais simple, autant que possible. Chaque champ d’application bénéficiait du soutien d’un sponsor de l’équipe dirigeante mondiale, et était structuré afin de faciliter la localisation et la compréhension rapides des informations.
Ce que nous avons créé est un cadre logique applicable aux documents de politique de cybersécurité. Ces documents sont conformes à la stratégie mondiale de Unit4, fondés sur des processus, des procédures et des normes efficaces, et bénéficient de lignes directrices établies permettant d’obtenir les résultats souhaités à partir des politiques. D’autres entreprises peuvent adopter une approche différente en fonction de leur goût du risque et de leur tolérance. Certaines accepteront plus de risques que d’autres, en fonction de leur secteur de l’industrie, de leur culture et d’autres facteurs également : par exemple, nous accordons davantage de latitude aux utilisateurs de R et D pour l’exploration de nouvelles technologies, car l’innovation est essentielle à notre culture et au succès de nos clients.
Mais quelle que soit l’entreprise, un cadre de sécurité de l’information, une politique de sécurité fondamentale et une documentation correspondante sont essentiels. Ils définissent l’attitude de l’entreprise à l’égard de la sécurité, établissent les processus de gouvernance et fournissent une carte simple qui indique au personnel à qui s’adresser en cas d’incident ou s’il a besoin de faire appel à un expert. De même, les dirigeants doivent disposer d’outils permettant de former le personnel, de diffuser des informations et de mettre en œuvre des plans de remontée en cas d’incident grave.
Durant ce parcours, nous avons recueilli des enseignements concernant l’harmonisation des politiques de sécurité, et j’aimerais partager avec vous quelques-unes des conclusions essentielles :
Plus qu’un mandat
Bien entendu, un document de politique générale doit montrer de quelle manière une entreprise se conforme aux exigences légales, aux normes ou aux mandats réglementaires. Pour autant, cela ne doit pas non plus le rendre profondément ennuyeux. Une politique de sécurité robuste doit être fondée sur des lignes directrices, des processus et des procédures permettant d’établir un lien entre ces exigences et les solutions pratiques permettant d’y répondre. Toute la documentation doit être présentée sous une forme lisible et être exploitable dans le monde réel, sous peine d’être archivée comme une déclaration d’impôts. Les normes telles que ISO 9001 ou ISO 27001 sont importantes ; toutefois, affirmer qu’une entreprise adhère à ces prescriptions n’est pas la finalité d’un document de politique générale. Un système de management de la sécurité de l’information doit apporter une réelle valeur ajoutée à l’entreprise qui l’a mis en place.
La certification est essentielle ; dans un document de politique générale correctement structuré et formulé, toutefois, elle devrait être le résultat automatique des actions que vous entreprenez. Par conséquent, un document de politique doit être considéré comme un guide permettant d’obtenir les résultats souhaités et un moyen d’appliquer les bonnes idées.
Diviser pour mieux régner
Commencez par le facteur humain. Il ne devrait pas exister d’approche « universelle ». Chaque entreprise se caractérise par différents niveaux de connaissances et domaines de spécialisation, ainsi que différents types d’informations que les individus auront besoin de connaître. Il est donc utile que les politiques soient réparties en sections et offrent la possibilité de rechercher des contenus spécifiques. Il est important d’utiliser un langage simple, afin de ne pas dissimuler les faits. Une question complexe, telle que la manière dont une entreprise gère le chiffrement, peut nécessiter l’utilisation d’un jargon un peu plus avancé, tandis qu’une politique d’utilisation acceptable devrait être facilement compréhensible.
Une politique seule ne suffit pas
Chez Unit4, nous avons voulu créer des politiques générales, qui ont ensuite été soutenues par des processus, des procédures, des normes et des lignes directrices. Les processus sont interdépartementaux et doivent être suivis afin de garantir un résultat de bout en bout, à l’instar d’un processus Joiners, Movers and Leavers (JML), qui documente le cycle de vie intégral d’un collaborateur au sein de Unit4. Les départements doivent disposer de procédures qu’ils utilisent pour réaliser des actions concrètes, à l’image des procédures de test de code utilisées dans le développement. Toutes ces dispositions reposent sur des lignes directrices qui expliquent quels comportements l’entreprise attend du personnel ou comment créer une procédure ou un processus de bout en bout. Cela garantit la qualité de tout ce que nous entreprenons et assure que toutes les interactions sont réalisées de manière sécurisée.
Une documentation vivante
La documentation doit être mise à jour en fonction des besoins et de l’évolution des circonstances, conformément aux principes de l’amélioration continue. Par exemple, Unit4 a mis en œuvre de nouvelles politiques et lignes directrices concernant l’utilisation appropriée de l’IA. Après avoir examiné les privilèges de sécurité qu’exigeaient certains outils populaires et constaté que certains n’offraient pas des garanties suffisantes, nous avons rapidement amélioré nos politiques afin de restreindre l’accès aux outils non sécurisés. Et, bien entendu, une politique doit être étayée par des processus de surveillance constante, afin de garantir que les incidents sont consignés et que les programmes sont mis en œuvre – une démarche qu’assure notre processus d’audit interne. C’est pourquoi, tous les trimestres, nous effectuons des tests de phishing ; nous savons que moins de cinq pour cent de notre personnel s’est laissé piéger et a bénéficié d’une formation ultérieure.
Continuer à innover
La politique peut être utilisée pour conseiller le personnel sur ce qu’il peut et ne peut pas faire, pour assurer l’application des règles dans les outils qu’utilisent les collaborateurs, puis intervenir sur une base individuelle, uniquement lorsque c’est nécessaire. En tant que RSSI, toutefois, nous devrions toujours chercher à innover. Avec les technologies désormais disponibles, nous devrions tous nous donner pour mission d’étendre l’automatisation autant que possible, afin de réduire le risque d’erreur humaine et d’assurer la performance optimale des stratégies de sécurité.
En considérant qu’un document de politique de sécurité représente plus qu’un engagement réglementaire (ou même une corvée), vous découvrirez peut-être qu’il s’agit en fait d’une arme de différenciation concurrentielle. L’heure est peut-être venue de ressortir ce document et de poser sur lui un regard neuf.
Tom Ascroft, Chief Information Security Officer (CISO)
Tom a rejoint Unit4 en février 2021 et est responsable de la cybersécurité d’Unit4 à l’échelle mondiale. Il identifie les menaces émergentes pour la sécurité et élabore les stratégies, les politiques, les contrôles généraux et la culture de la sécurité organisationnelle indispensables à leur atténuation. Avant de rejoindre Unit4, Tom était Chief Information Security Officer de l’établissement University of Surrey, où il a transformé et redéfini l’offre de cybersécurité avec le département IT Services. Auparavant, Tom occupait le poste de Director of Information Security pour la région EMEA chez Avanti Communications, suivi du poste de Head of Information Security Consulting for Legal & General PLC au Royaume-Uni, où il traitait les demandes relatives à la sécurité de l’information, la cyber-assurance de tiers, les tests de pénétration ainsi que les tests d’applications. Tom est titulaire d’un MBA de l’établissement Warwick Business School.
