« Toute organisation doit avoir à l’esprit qu’inclure la sécurité dans ses projets revêt désormais un caractère obligatoire, et c’est un enjeu qui ne peut pas être porté uniquement par le pôle sécurité.»
Pour échanger sur la nécessité d’inclure le volet sécurité dans tous les projets, qu’ils soient d’ordre applicatifs, d’infrastructure, de migration, de transformation, de changement d’outils ou encore pour le lancement de nouveaux produits ou de services (interne ou externe), nous avons le plaisir d’inviter Laurent Galvani, consultant cybersécurité senior chez Fidens.
Y a-t-il une typologie de projets plus concernée par les questions de sécurité que d’autres ?
Potentiellement, tous les projets sont concernés. En revanche, le volet sécurité sera plus ou moins développé en fonction de la nature du projet et de son contexte. Mais pour le savoir, encore faut-il avoir eu cette démarche d’analyse du risque dès la phase d’initialisation. Ce qui revient à dire que dès qu’un projet est identifié, il faut tout de suite mettre dans la boucle le pôle sécurité pour demander leur avis et ainsi se positionner.
C’est seulement de cette façon qu’il sera possible de définir si tel projet est standard ou sensible, voire très sensible, pour la sécurité du système d’information. S’il est standard, il nécessitera simplement les précautions de cybersécurité habituellement utilisées dans l’organisation (authentification, stratégie réseau…). Il faudra bien vérifier que le projet respecte tous les points de sécurité identifiés, en amont mais également au moment de la recette, juste avant la mise en production. Dans le cas contraire, quand le positionnement est sensible ou très sensible, il faudra mettre en œuvre une démarche de sécurité spécifique à ce projet.
Comment mettre en œuvre cette analyse de risque du projet ?
Encore une fois, tout dépend du projet, de son contexte et de sa dimension data comme Laurent l’avait déjà évoqué. Le recours à un simple tableau Excel avec des questions nécessitant de répondre par « Oui/Non » peut suffire pour commencer, par exemple :
- Est-ce que le projet a accès à Internet ?
- Est-ce qu’il concerne une nouvelle technologie ou un nouveau produit qui n’est pas encore maîtrisé en interne ?
- Est-ce qu’il faut une disponibilité H24 ?
- Est-ce qu’il y a des besoins particuliers en matière de sécurité ?
- Est-ce qu’il y a besoin d’astreinte ?
- Est-ce qu’il y a un traitement de données sensibles (informations sur les clients, données à caractère personnel…) ?
En fonction des réponses apportées à ces questions, l’organisation va pouvoir orienter la typologie du projet. Et si celui-ci est défini comme sensible, l’étude de ce projet devra être poussée plus loin qu’habituellement. Sans forcément aller jusqu’à une analyse de risque complète dès le départ, il faudra définir quels sont les risques en matière de sécurité, de confidentialité, de disponibilité, d’intégrité, de traçabilité…
Par exemple si la réponse est Oui à la question « Est-ce que le projet a accès à Internet ? », cela sous-entend qu’il peut y avoir des connexions depuis l’extérieur, donc une cyberattaque est possible. Ce qui nécessite de définir précisément les habilitations nécessaires puis de surveiller de manière continue les connexions des usagers.
Si la réponse est Oui à la question « Est-ce qu’il y a un traitement de données sensibles (informations sur les clients, données à caractère personnel…) ? », il faudra se demander comment protéger ces données : avec du chiffrement par exemple. Définir une politique stricte d’accès à ces données, une stratégie de sauvegarde et une méthode pour garantir la maîtrise de leur intégrité est une approche qui doit également être envisagée.
C’est avec cette méthode qu’il sera possible de définir les éléments de sécurité à ajouter au projet, et si le recours à des prestataires extérieurs est nécessaire pour faire des tests d’intrusion, ou de l’audit de code s’il s’agit d’un projet de développement par exemple.
Puisque tous les projets sont concernés, qui doit être dans la boucle de cette démarche de « security by design orientée projet » ?
Cette démarche nécessite l’inclusion de tous les responsables, directeurs ou chefs de projet, peu importe leur intitulé. Toute organisation doit avoir à l’esprit qu’inclure la sécurité dans ses projets revêt désormais un caractère obligatoire, et c’est un enjeu qui ne peut pas être porté uniquement par le pôle sécurité. Un collaborateur haut placé dans l’organigramme doit saisir ce sujet et devenir le porte étendard des questions de sécurité, en indiquant qu’un projet qui ne respecte pas cette démarche ne pourra pas être mis en production.
Nous constatons régulièrement sur le terrain que les équipes de sécurité sont impliquées dans les projets « sur le tard », parfois une semaine seulement avant une mise en production. Ce qui n’est absolument pas efficient et présente même un risque. La sensibilisation de la chefferie de projet est essentielle pour que l’intégration de la sécurité ne soit pas vue comme une contrainte. Car il y aura forcément des étapes « en plus » qui potentiellement vont ralentir le projet, avec des notions de temps et de coûts supplémentaires. Il y a donc une réflexion à mener dès la phase d’avant-vente sur l’inclusion du volet sécurité dans les devis, ou dans les propositions financières pour des projets internes.
Comment se passe concrètement cette inclusion de la sécurité dans les projets ?
Des outils sont nécessaires par aider les chefs de projet à inclure le volet sécurité. Cela peut passer par la mise à disposition de questionnaires ou d’outils d’analyse établis en co-construction lors d’ateliers. Toutes les parties prenantes (le chef de projet, le responsable infra…) doivent être présentes et la démarche doit être collégiale. Car si le RSSI travaille seul dans son coin sur cette partie, le résultat ne sera jamais pertinent. De plus, le pôle sécurité sera alors vu comme le « gendarme » et la démarche comme contraignante. Il faut donc inclure au maximum les équipes projets le plus tôt possible pour qu’elles comprennent bien l’intérêt de la sécurité, et qu’elles participent puisqu’elles sont les mieux placées pour parler des éléments techniques, opérationnels et organisationnels.
Consultant en cybersécurité depuis 9 ans, j’interviens sur toutes les problématiques de gouvernance, risques et conformité et j’accompagne également les clients à choisir la meilleure offre pour renforcer leur maturité cybersécurité.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Ces contenus pourraient vous intéresser :
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Contact
22, rue Guynemer – B.P. 112
78 601 Maisons-Laffitte Cedex
- +33 (0)1 34 93 17 27
- +33 (0)1 34 93 49 49
- infos@tvhconsulting.com