Réunis dans le salon historique du Ivy, à Londres, une dizaine de RSSI britanniques ont inaugurés le premier petit-déjeuner SecurityVibes outre-manche.

Stephen Jackman, Director of Global Security chez Barclays Capital, et membre de SecurityVibes UK, est venu présenter sa vision d'une sécurité pilotée par l'analyse du risque. Située à l'opposé de la sécurité dite prescriptive (on suit les recommandations d'un référentiel), cette approche se focalise sur une analyse préalable des actifs de l'entreprise et des risques qui pèsent sur ses derniers, avant de décider de les couvrir, de les transférer, voire de les ignorer.

Premier constat de l'assemblée : c'est plus facile à dire qu'à faire ! Et effectivement, la sécurité prescriptive est, de loin, l'approche la plus simple à mettre en oeuvre. Mais elle tient rarement compte du business, et surtout son coût est difficilement maîtrisable car le périmètre concret concerné par les mesures préconisées par le référentiel n'est pas forcément bien défini à l'avance.

A l'opposé, l'analyse de risque va permettre d'identifier clairement ce périmètre et de se focaliser sur ce qui fait le métier (c'est d'ailleurs sa raison d'être !) afin d'y appliquer une action corrective proportionnelle à l'impact des incidents. Avantage, donc, pour l'approche par le risque.

Mais cela ne sera pas possible pour tous : plus l'entreprise évolue dans un domaine réglementé et plus sa sécurité sera, nécessairement, prescriptive : "Les auditeurs sont formatés pour une approche prescriptive de la sécurité, et il ne sert à rien de leur présenter une approche basée sur le risque, cela ne rentrera pas dans leurs cases à cocher", fait ainsi remarquer un participant.

Par ailleurs, piloter la sécurité par le risque est un véritable projet, qui exige un niveau de compétence plus élevé de la part des équipes et, surtout, beaucoup de persuasion de la part du RSSI. Il semble qu'il soit plus simple pour le reste du monde de suivre une checklist de sécurité pas-à-pas. "Et l'approche par le risque pourra, parfois, aller à l'encontre de ce qui semble évident, il faudra alors être capable d'argumenter du bien fondé de certaines décisions !", met en garde Stephen Jackman.

Le projet exige aussi la mise en place d'une organisation nouvelle. En premier lieu afin de savoir ce que l'on fait du risque une fois celui-ci identifié et évalué. Qui prend la décision de le couvrir, le transférer ou l'ignorer ? La Direction est souvent loin des réalités du métier, mais ce dernier - bien que "propriétaire" du risque - ne dispose pas toujours de l'autorité, du recul ou de la vision stratégique nécessaire pour prendre une telle décision.

Une solution peut être une approche granulaire : "Nous avons mis en place une matrice qui reprend les différents risques identifiés, et pour chaque niveau de chaque ligne de risque, qui est chargé de prendre la décision", explique un autre participant.

Certains, toutefois, préfèrent toujours centraliser : "chaque décision vis-à-vis de l'acceptation d'un risque est prise par un comité de risque, qui réuni des gens de la SSI, de la IT et des métiers", répond un RSSI présent.

Quelle que soit l'approche choisie, le Comité de Risque est toutefois probablement incontournable, car il faudra gérer les exceptions. C'est d'ailleurs l'un des points essentiels soulevés par les participants : il n'est pas possible de piloter la sécurité par le risque sans pouvoir gérer des exceptions et des conflits. "Il faudra toujours arbitrer des conflits entre le métier et la SSI, et le comité des risques est un outil essentiel pour cela", confirme un RSSI.

Sur le volet de la mise en oeuvre d'une telle approche, les participants ont essentiellement mis l'accent sur l'aspect mouvant de la notion de risque lorsque l'entreprise opère dans différents pays, ce qui rend difficile une approche cohérente. "La politique d'acceptation du risque changera du tout au tout pour une filiale où les pénalités sont vingt à trente fois plus importantes que dans d'autres pays", fait observer le RSSI d'un groupe international. "Et plus encore si vous opérez dans un pays qui peut mettre le RSSI en prison !", ajoute un autre participant.

Se pose enfin la question du timing : quand introduire l'analyse de risque ? La solution pourrait être dans les cordons de la bourse : "J'ai associé le processus d'analyse de risque à celui du financement des projets", explique ainsi un membre.

Et manifestement, personne ne rechigne alors à lancer l'analyse de risque...

Les prochains Petit-Déjeuners SecurityVibes UK et France auront lieu à la rentrée 2009.

L'édition française aura pour thème la sécurité des applications web, en association avec l'OWASP.