« Gouverner, c’est prévoir », disait Émile de Girardin. En matière de cybersécurité, c’est surtout décider d’une stratégie globale tenant compte des impératifs de l’entreprise, et se donner les moyens de sa mise en œuvre. Vaste programme !
Définir une stratégie d’entreprise en matière de sécurité des systèmes d’information implique de nombreux volets, dont notamment :
- Trouver le juste équilibre entre la protection des actifs et le coût des mesures nécessaires
- Mettre en place des contrôles qui offriront, à tout moment, la certitude que cet équilibre est respecté
- Calculer l’impact de la cyber (in)sécurité sur les opérations
- Décider du niveau d’appétence au risque
Et cela n’est que le début : il faudra encore, par exemple, aligner le risque informatique avec le risque métier ou prendre en compte les aspects humains et RH de la cybersécurité.
Et tout ceci sans compter les tâches qui ne relèvent pas vraiment de la SSI mais qui lui bénéficient directement : simplifier les processus IT, traquer les dépendances technologiques inutiles, arbitrer au mieux l’externalisation, évaluer le risque juridique dans les contrats IT…
Tout ceci s’audite, s’évalue, se décide et se documente : et c’est sans surprise que l’entreprise choisit le plus souvent de se faire aider dans ces démarches !
C’est le domaine des sociétés de conseil. Leur intervention peut être très standardisée (c’est le cas notamment avec la création d’une politique de sécurité) ou bien sur mesure, dès lors que l’on entre dans la stratégie et l’alignement de la SSI avec les exigences métier.
Les prestations offertes dans cette catégorie sont très diverses, mais l’on y retrouvera souvent une assistance à l’organisation de la fonction sécurité (rôles, responsabilités, instances de gouvernance), à la création de politiques de sécurité (PSSI), à la préparation des analyses de risques ou encore à la sélection d’indicateurs pertinents pour les tableaux de bord sécurité.
