CHAPITRE 1 : MANDAT DU PROJET
Cela fait peut-être un peu cliché mais, pour les projets de systèmes de management de la sécurité de l'information (SMSI), il est certainement vrai de dire que « ce qui est bien commencé est déjà à moitié fait ». La personne en charge de la direction d'un projet de SMSI ISO/CEI 27001:2013 doit résumer quelque chose qui semble potentiellement complexe, difficile et coûteux en termes de temps et de ressources, à quelque chose que tout un chacun pense pouvoir être réalisable dans le temps alloué et avec les ressources disponibles. Puis elle devra s'assurer que tout cela a bien été accompli !
Ce que cela signifie en réalité, c'est que le chef de projet du SMSI doit mettre en place le projet de manière à ce qu'il dispose des ressources suffisantes, de suffisamment de temps (y compris pour tout ce qui pourrait mal tourner) et que chacun comprenne les risques du projet et accepte les contrôles déployés pour les minimiser.
La plupart des gens n'aiment pas le changement. Très peu de personnes apprécient de devoir composer avec l'inconnu. La plupart des gens verront un projet de SMSI comme un élément apportant à la fois le changement et l'inconnu dans leur vie professionnelle, et tous ne verrons pas cela d'un bon œil. C'est normal ; ils nous emboîteront le pas à la fin.
Le chef de projet, dans la première phase du projet, est la personne vers qui tout le monde se tourne dans l'organisation pour des questions d'éclaircissement, de confort et de soutien. Vous devez être celui qui génère l'enthousiasme, la certitude et une compréhension des enjeux.
Cela signifie que l'apprentissage « sur le tas » d'une manière transparente n'est pas conseillé. Je ne veux pas dire pour autant que vous devez connaître toutes les réponses dès le départ, ce ne serait pas réaliste. Tant que vous avez une compréhension claire des questions stratégiques et des connaissances pratiques nécessaires à l'obtention de conseils et de lignes directrices, vous pouvez être efficace (même si vos connaissances détaillées nécessaires au projet ne datent que de quelques jours avant les autres).
Vous serez surpris du nombre de fois où quelqu'un a lancé un projet SMSI sans préparation adéquate, n'a pas su répondre de la bonne façon à une série de questions ou de défis sur des problèmes spécifiques, et a été tout surpris que le projet perde assez rapidement de sa crédibilité.
Le soutien de votre Directeur général pour ce projet est encore plus important que votre propre compréhension de ce que vous essayez d'atteindre. La sécurité de l'information est à la fois une question de management et de gouvernance. La mise en œuvre réussie d'un SMSI dépend absolument du fait que le projet bénéficie d'un soutien réel de la part du sommet de l'organisation. Avec lui, vous avez une vraie chance de succès ; sans lui, aucun espoir. Obtenir l'appui réel de la haute direction (pas seulement du bout des lèvres) est la clé du succès pour la norme ISO 27001. Dans ce contexte, je ne parle pas nécessairement du Directeur général d'une grande organisation multi-filiale ; je parle de la personne responsable de la réussite de l'entreprise ou de l'échec de l'entité commerciale qui a la charge de l'ISO 27001. Il pourrait s'agir d'une division commerciale, d'une filiale, d'une unité autonome ou d'une organisation virtuelle.
Il est important d'être très clair sur le sens de « responsable » dans ce contexte. Je parle de la personne dont le travail et la carrière dépendent en fin de compte de la réussite de l'entité commerciale qui a la charge de l'ISO 27001 ; cette personne n'occupe pas toujours le rôle formel de « responsable ultime ». Toute organisation sait très exactement qui est la personne en charge de la responsabilité ultime, et c'est cette personne que je désigne en tant que Directeur général dans ce chapitre.
Alignement stratégique
La première raison pour laquelle le Directeur général doit vous soutenir pleinement, vous et le projet SMSI, est qu'il s'agit d'un projet d'entreprise, et non d'un projet informatique. Il doit être entièrement aligné sur le modèle d'entreprise, la stratégie et les objectifs commerciaux, et doit être une priorité pour l'entreprise et se voir attribuer un niveau approprié de ressources. Alors que le Directeur général est peu susceptible d'être le chef de projet SMSI, il n'en demeure pas moins la seule personne pouvant effectivement donner la priorité à la cyber-sécurité. Aucun chef de projet agissant seul n'est en mesure de définir clairement les besoins et les objectifs stratégiques de l'organisation mais, puisqu'il s'agit d'un projet stratégique qui touche tout le monde, vous devez faire partie de « la boucle » afin de pouvoir adapter vos propres plans aux priorités opérationnelles de l'organisation.
Vous devez également appréhender les risques stratégiques auxquels l'organisation est confrontée et la façon dont ces risques sont reflétés et priorisés en matière de sécurité de l'information. Le nombre de questions potentielles est important, les réponses apportées seront essentielles à votre approche et aux détails de votre plan. À titre d'exemple, le risque de vol de propriété intellectuelle est-il plus important (avec un impact potentiel plus important) que, par exemple, le risque d'une cessation d'activité de trois jours ? La conformité aux règlementations est-elle plus ou moins importante que la réduction du coût des ventes ? La sécurité de l'information et la conformité aux réglementations vont-elles jouer un rôle important dans les solutions d'externalisation (ou, lorsqu'elles sont confrontées à un choix entre un coût moins élevé mais moins sûr, et une option d'externalisation plus sûre mais plus coûteuse). Comment doit-on résoudre un conflit entre les exigences réglementaires de deux juridictions différentes au sein desquelles intervient l'organisation ? Quel est le compromis acceptable entre la flexibilité opérationnelle accordée aux organisations filiales et la mise en place d'un niveau minimum et cohérent de sécurité de l'information et de fiabilité des services informatiques ? Quels sont les plans à long terme concernant les services d'assistance spécifiques ? (s'ils doivent être externalisés, au lieu de rester en interne, vous allez devoir aborder différemment la mise en œuvre du SMSI). Il existe beaucoup d'autres questions de ce genre, dont vous devez connaître les réponses avant même de pouvoir débuter l'élaboration d'un plan, et bien d'autres qui surviendront tout au long du projet.
Priorisation et approbation
La seconde raison pour laquelle ce niveau de soutien vous est indispensable est qu'il ne pourra tout simplement pas exister sans. Il ne suffit pas que le Directeur général et la haute direction reconnaissent simplement que le projet est important. Il ne suffit pas qu'ils se contentent d'en parler. Il ne suffit pas que vous connaissiez les priorités stratégiques de l'organisation et que vous soyez en mesure d'aligner le projet sur le plan opérationnel.
Pour qu'il soit réalisable, les cadres supérieurs doivent s'y impliquer de façon certaine et déterminée. L'engagement de la haute direction signifie que le projet obtient les ressources financières et humaines dont il a besoin. Qu'il lui est octroyé la supervision, les contacts directs et le rôle principal dans la communication interne dont il a besoin. À moins de disposer de ce type d'engagement, beaucoup de choses, au sein de l'organisation, seront perçues comme bien plus importantes que votre projet. Bien sûr, d'autres priorités plus importantes existeront ; ce dont vous avez besoin est d'une priorisation claire qui soit comprise par l'ensemble de l'entreprise et continuellement soutenue par le Directeur général.
La priorité relative de votre projet doit être clairement comprise. Dans un tel contexte, celui-ci doit disposer de l'appui ferme et sans compromis du Directeur général. Par « approbation », je veux dire que, lorsque des obstacles occasionnels et inutiles apparaissent, les termes : « Il s'agit d'un projet approuvé/mandaté par le Directeur général » devraient facilement permettre de les surmonter.
Gestion des changements
La troisième raison pour laquelle vous avez besoin du soutien du Directeur général est qu'un projet SMSI est susceptible d'être un projet de gestion du changement. La mise en œuvre d'un SMSI n'est pas une activité à faible impact. Il peut s'avérer nécessaire de modifier la façon dont les utilisateurs d'ordinateurs réalisent un certain nombre de choses, et cela affecte également certains aspects des activités quotidiennes des gestionnaires. En d'autres termes, un projet de SMSI efficace est un projet de gestion du changement discret, mais néanmoins de grande envergure, et la façon dont vous allez l'approcher doit bénéficier des leçons de l'expérience réussie de programmes de gestion du changement.
De nombreux livres ont été écrits sur la gestion du changement. Beaucoup de ces projets ne parviennent pas à produire les bénéfices escomptés annoncés pour justifier des frais d'initiation et de mise en œuvre. La mise en œuvre réussie d'un SMSI n'exige pas de programme détaillé et stratégique en matière de gestion du changement, en particulier pour ceux sous-traités et gérés par des consultants externes. Ce qu'elle exige, en revanche, c'est une implication totale de la haute direction, des personnes chargées de faire avancer le projet et de ceux dont les pratiques professionnelles vont s'en trouver affectées, et pour lesquelles des changements sont nécessaires, desquels le résultat final doit être positif, et dont ce résultat est essentiel. Les aspects liés à la gestion du changement sont la troisième raison pour laquelle le soutien et l'aval du Directeur général sont essentiels : vous attendez de lui qu'il donne l'exemple et fasse lui-même tout ce que vous attendez que les autres fassent.
Le fait est que la norme elle-même exige ce niveau de soutien. Aucun organisme de certification ne pourra certifier de SMSI sans obtenir les preuves solides que la haute direction est engagée. La raison en est simple : si l'engagement fait défaut, le SMSI ne sera pas adéquat ; les risques pour l'organisation n'auront pas été convenablement reconnus ni entièrement pris en compte ; et il est peu probable que les objectifs commerciaux stratégiques, et les exigences futures en découlant en matière de sécurité de l'information, aient été pris en considération.
Le rôle du Directeur général
Idéalement, le Directeur général devrait être la force motrice à l'initiative du programme, et la réalisation de la certification ISO 27001 devrait être un objectif clairement indiqué dans le plan d'entreprise en vigueur. Le Directeur général doit parfaitement comprendre les enjeux stratégiques associés à la gouvernance informatique et à la sécurité de l'information, ainsi que la valeur ajoutée que procurerait à la société une certification réussie. Le Directeur général doit être en mesure d'expliquer clairement cela au conseil d'administration et à la haute direction, et de traiter les objections et les questions pouvant se poser. Par-dessus tout, il doit suffisamment maîtriser cette partie du plan d'entreprise afin d'être en mesure de le maintenir sur ses objectifs stratégiques.
Le président et le conseil d'administration devraient accorder autant d'attention au suivi des progrès relatifs au plan de mise en œuvre de la norme ISO 27001 qu'à la surveillance de tous les autres objectifs clés de l'entreprise. L'article 5.1 de la norme exige tout spécialement des preuves de l'implication de la direction : « La haute direction doit faire preuve de leadership et d'engagement en ce qui concerne le système de management de la sécurité de l'information ». Si le Directeur général, le Président et les membres du conseil d'administration ne sont pas porteurs de ce projet, la procédure n'a que peu de chance d'aboutir ; il n'y aura pas de certification sans preuve claire d'un tel engagement. Ce principe de leadership par le haut est, bien évidemment, également essentiel pour tous les grands projets liés au changement.
Si vous êtes déjà le Directeur général de l'organisation, vous faites alors très exactement ce qu'il faut en lisant ce livre et en vous préparant à conduire vous-même le projet de sécurité de l'information. Si vous n'êtes pas le Directeur général, vous allez alors devoir obtenir le type d'engagement et de soutien que j'ai décrit ci-dessus.
Le chef de projet SMSI idéal est un chef d'entreprise - un Directeur opérationnel (COO) ou un responsable de ce secteur d'activité ; se lancer dans un SMSI est un projet d'entreprise et le leadership d'entreprise est donc fondamental pour son succès. Il arrive souvent qu'un projet SMSI échoue parce qu'il a apparemment été mis en place en tant que projet technologique, et qu'il est donc considéré et traité comme un projet restreint qui ne mérite pas un engagement total de l'entreprise. « Encore un autre projet informatique » est le mauvais message pour intégrer un SMSI au sein de la culture de l'organisation.
Il existe bien entendu des organisations dans lesquelles le Directeur des systèmes d'information (DSI) fait partie de la haute direction, et est responsable d'une fonction intégrant la sécurité de l'information, en ayant donc déjà la pleine confiance et le soutien du Directeur général et du conseil d'administration. Dans une telle organisation, le DSI pourrait être le moteur du projet, mais il aura toujours besoin de l'engagement et du soutien du Directeur général, notamment pour que tous dans l'organisation comprennent que la reconnaissance de la sécurité est une priorité d'entreprise. Le DSI devra également créer d'urgence une équipe de projet intra-entreprise ; j'y reviendrai plus tard.
Le mandat du projet
Le mandat de projet consiste à saisir la preuve initiale de cet engagement sous un format utilisable. Un mandat de projet (ou DIP - document d'initialisation de projet) est un document largement utilisé pour saisir les éléments clés de tout projet complexe. Il garantit qu'il existe un point de référence unique et original qui définit les trois clés du succès d'un projet : les résultats attendus, le calendrier et le budget.
Des projets complexes échouent parce qu'une ou plusieurs de ces trois variables du projet sont mal identifiées et/ou gérées. « L'écart d'objectif » est une des origines les plus fréquentes à l'échec d'un projet. Les mandats de projets visent donc à définir clairement le domaine d'application du projet ainsi que les trois variables afin de soutenir un processus efficace de gouvernance du projet.
Le mandat de votre projet devrait aborder ces quatre points :
1. Les résultats attendus : identifier l'objectif en tant qu'obtention de la certification ISO 27001 pour une partie spécifique ou l'ensemble de l'organisation et, si possible, identifier pourquoi la sécurité de l'information est importante pour votre organisation.
2. Le calendrier : créer un plan-cadre du projet et cibler une date de réalisation sur la base des neuf étapes du succès.
3. Le budget : identifier les ressources, internes et externes, ainsi que la formation, les logiciels et les outils dont vous aurez besoin pour le projet.
4. L'autorisation de procéder : le mandat doit comprendre l'approbation du projet par la direction et l'autorisation de procéder, afin de parvenir aux objectifs identifiés en utilisant les ressources budgétisées.
Les résultats attendus et l'objectif du projet
Bien que les résultats attendus du projet soient relativement faciles à définir (par exemple, obtenir la certification ISO 27001 dans les quatre mois), vous devez toujours être très clair sur les raisons de poursuivre cet objectif tout en précisant les différences entre l'objectif du projet et les objectifs de sécurité de l'information.
L'objectif d'un système de management de la sécurité de l'information est, bien évidemment, de réduire et de contrôler les risques liés à vos informations. Le ou les objectifs réels de votre projet SMSI peuvent être différents des objectifs du SMSI lui-même et vous devriez être précis en ce qui concerne ces différences, si vous souhaitez faire converger de façon appropriée le projet et le SMSI. L'objectif du projet peut être, par exemple, d'obtenir la certification ISO 27001 dans un délai donné afin de satisfaire à une exigenc...