Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Directions générales : soyez informées !


Certains événements récents présentent des directions générales qui semblent apprendre par la presse des violations de sécurité dont elles auraient été victimes il y a quatre ans. « Je ne suis pas au courant » semble avoir été le mot d’ordre en vigueur. N’est-ce pas la négation de la maîtrise managériale ?

Tout en essayant d'éviter d'être naïf, voici quelques réflexions sur le sujet.



DR
DR

Reconnaître les trous dans la coque

En matière de sécurité, la protection absolue n’existe pas. En matière de continuité, l’incident est la règle. Prétendre que tout va bien c’est démontrer au mieux de l’ignorance, au pire de l’inconscience !

Il y a des failles de sécurité et il y a des incidents de production ! L’important c’est de les détecter vite et de réagir correctement. Ne pas reconnaître cela c’est renoncer à faciliter les résolutions.

Je suis toujours surpris lorsque je rencontre des attitudes de déni de cette réalité, qui de plus semblent sincères ! « Vous pouvez essayer, les tests d’intrusion ne révéleront rien chez nous » ou encore : « Notre production informatique est fiable à 100% ». Ces discours ne font que révéler une inconscience de la réalité et en 2015, ils décrédibilisent définitivement ceux qui les tiennent.

Dire « oui » aux problèmes

Je me souviendrai longtemps, alors responsable adjoint de production dans une SSII importante, d’une rencontre lors d’une réunion avec mon homologue d’une société concurrente. Celui-ci affirmait qu’il devait y avoir environ un ou deux incidents par mois dans sa production. En réaction, je citais le chiffre de 120 incidents par semaine constatés chez nous sur les douze derniers mois, avec un listing à l’appui et des statistiques sur les délais de traitement, les usagers impactés et les résolutions apportées. Devinez lequel des deux a reçu le plus de questions de l’assistance …

Autrement dit, nous avions deux situations : l’une avait une vision vague qui sous-estimait les problèmes (« chuuut, on n’en parle pas ») ; l’autre qui constatait des faits et cherchait à les résoudre de manière pro-active avec des statistiques qui démontraient que les problèmes étaient reconnus et qu’on y faisait face.

Autre exemple édifiant : on présente à un DG d’une société française connue un rapport de tests de PCA qui révèle des faiblesses. Il s’avère surpris et mécontent. On lui annonce alors que ces tests sont faits depuis cinq ans et que la situation s’améliore chaque année. Il l’ignorait. Sa réaction fut de demander les rapports des années précédentes et de vouloir être informé chaque année des résultats des nouveaux tests.

Voilà une attitude intéressante : regarder la réalité en face et veiller à son amélioration. Maintenant ce DG sait beaucoup mieux ce qui se passe dans sa société en matière de sécurité et continuité. (Cela suppose toutefois que lesdits rapports soient lisibles et synthétiques, ce qui n’est pas gagné du premier coup).

Exigez un tableau de bord !

Si l’on généralise la bonne pratique, on peut lister certaines recommandations de ce qu’un DG peut demander :

  • Ne pas rester plus de six mois sans rapport sur les incidents de sécurité ou de continuité (sur une page A4)

  • Considérer toute absence de rapport comme un danger (et non pas comme la preuve que tout va bien : on ne conduit pas les yeux fermés)

  • En cas d’achat d’outil (pare-feu, anti-virus, sauvegarde, copie-miroir, gestion d’incidents, cela ne manque pas…) exiger que la production de statistique que permet tout outil sérieux vous adresse un rapport régulier. En bref : pas de signature sans la promesse d’un tableau de bord (feuille A4).

  • Demander à formaliser quelques indicateurs judicieusement choisis qui vont permettre en Codir d’interpeller d’autres Directeurs, ce qui aura pour effet de faire redescendre en fine pluie des actions « vertueuses » dans les équipes.

  • Aborder systématiquement le sujet de la sécurité et de la continuité dans l'ordre du jour du Codir ou en management review : événements ? faits marquants ? évolution des risques ?

Impliquer pour cela les responsables tels que RSSI, RPCA, qui ont ce devoir de remonter des informations.


Le courage du cercle vertueux

L’attention de la Direction générale aura avec le temps des effets sur les divers responsables :

  • Elle crédibilisera petit à petit la DG dans leur esprit

  • Elle montrera l’implication de la DG dans la sécurité et la continuité

  • Elle initiera un système de management par l’amélioration continue

N’est-ce pas le fonctionnement attendu d’une DG : avoir une bonne vision sur la réalité et des manettes efficaces en main ?

Emmanuel Besluau
Jeudi 23 Juin 2016

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter