Il était une fois, « pas de nouvelles, bonne nouvelle » était positif un professionnel de la sécurité.
Aujourd’hui, la fonction de sécurité est considérée comme un facteur de réussite pour l’entreprise, et on demande souvent à ses dirigeants : « Qu’avez-vous fait pour notre succès ces derniers temps? » On peut dire sans trop se tromper que, dans le passé, la sécurité était considérée comme une préoccupation opérationnelle. Aujourd’hui, la sécurité de l’information et la sécurité physique sont devenues beaucoup plus stratégiques. Ce n’est là qu’un des signes de l’amélioration du profil des professionnels de la sécurité au cours des dernières années. D’autres signes abondent.
Nouvelles responsabilités, nouvelles mesures
Par exemple, au niveau du conseil d’administration de la société, il existe maintenant des comités axés sur les risques et l’exposition à la sécurité. Auparavant, le plafond d’entreprise pour les responsables de la sécurité était fixé aux cadres intermédiaires. Maintenant, ils se retrouvent en tant que cadres et dans la suite C, avec un élargissement correspondant des choses qui ont besoin d’être sécurisées.
Ces cadres supérieurs de la sécurité comblent maintenant des lacunes qui n’existaient pas auparavant ou qui étaient inconnues. De plus, la professionnalisation générale de la fonction de sécurité a fait en sorte qu’elle est traitée comme toute autre fonction opérationnelle : il est mesuré et responsable du rendement.
GRSE vs Convergence
La complexité croissante des questions de sécurité aujourd’hui a également contribué à rehausser le profil de la fonction de sécurité. En général, le fossé entre la sécurité de l’information et la sécurité physique se rétrécit. L’harmonisation des fonctions est quelque chose que presque toutes les organisations de sécurité sont aux prises avec ou évitent (attention aux autruches – les tactiques tête dans le sable sont un poste qui limite la carrière). L’alignement des deux groupes est souvent appelé convergence.
Ce terme et cette tendance ne doivent pas être confondus avec la GRSE (Gestion des risques de sécurité d’entreprise). Alors que la convergence concerne les changements structurels du secteur, la GRSE est un processus de gestion utilisé pour gérer efficacement les risques à l’échelle d’une entreprise. Le processus quantifie les menaces, établit des plans d’atténuation, détermine les pratiques d’acceptation des risques, gère les incidents et guide les propriétaires des risques dans leurs efforts d’assainissement. (ASIS International CSO Center)
Le gouffre
Traditionnellement, la sécurité de l’information et la sécurité physique étaient traitées séparément. À mon avis, la tendance d’aujourd’hui est la deuxième (peut-être plus que la deuxième) vague de convergence depuis que je suis dans le secteur de la sécurité.
Lorsque j’ai commencé il y a vingt ans, la convergence entre le service de sécurité et les solutions a commencé à se produire : il y avait des agents de sécurité et des technologues de la sécurité au sein d’une équipe de sécurité physique. Bien qu’aujourd’hui les gens se spécialisent, ces deux profils se retrouvent souvent chez une seule et même personne, et au minimum ils sont dans la même équipe.
Attention au fossé
En fin de compte, lorsque l’on considère le fossé entre les domaines de la sécurité physique et de la sécurité de l’information, on ne peut pas commencer avec la solution en tête. Vous devez analyser le risque tout en tenant compte à la fois des informations et des points de sécurité physique, puis appliquer des solutions appropriées pour gérer le risque. Généralement, le risque peut être défini par cette équation :
Risque = Menace x Vulnérabilité x Impact
Dans de nombreux cas, les deux domaines ont en commun les risques, les actifs, les mesures et la résilience.
L’évaluation des risques commence généralement, bien entendu, par l’identification des actifs et leur classification en fonction de leur importance pour l’organisation. Dans le cas de la convergence, les actifs sont des actifs et ils peuvent être compromis par des moyens physiques et techniques.
Les paramètres commerciaux restent les mêmes
Quelle que soit la façon dont les actifs sont sécurisés, les paramètres d’affaires demeurent les mêmes :
- Quelle est l’efficacité de leur sécurisation?
- Quelles sont les mesures d’atténuation et le rendement du capital investi?
- Quel sera l’impact d’un problème de sécurité sur l’entreprise si un actif est compromis?
En avril, j’ai eu la chance d’assister à la conférence à la ASIS Europe conference dont le thème général était « Passer du risque à la résilience ». La résilience est en grande partie la réponse à la question « Comment revenir à la normale après un incident? » La réponse, bien sûr, est liée au degré de préparation d’une organisation à un incident, qu’il s’agisse de sécurité physique ou de sécurité de l’information.
Combler l’écart avec les données
Dans de nombreux cas, l’écart entre les deux domaines de sécurité est mesuré à l’aide de données. En l’absence d’outils appropriés de collecte et de gestion des incidents, nous sommes éternellement incertains de l’état de notre programme ou de ses différentes composantes. Par exemple, une force d’agents de sécurité qui ne signale pas électroniquement toutes ses actions, ses activités et son influence ne fait pas l’objet d’un suivi parce que le vaste volume de données généré par la ligne de front n’est pas saisi.
L’exploitation de ces données appuie en grande partie le processus d’évaluation des risques en déterminant la probabilité de l’incident, ce qui permet de déterminer les mesures à prendre, la façon de les mettre en œuvre et l’importance qu’il faut leur accorder. Cette approche s’applique aussi bien à une solution de sécurité physique qu’à une solution axée sur les actifs informatiques.
Mesurer toutes les solutions
Toutes les solutions appliquées pour améliorer la sécurité doivent être mesurées. La mesure peut se présenter sous la forme d’Indicateurs clés de performance (ICP) et les accords sur les niveaux de service (ANS). Les données devraient toujours mettre l’accent sur le risque – et la résilience – – plutôt que sur une mesure d’atténuation. Si vous ne pouvez pas mesurer l’activité ou la fonction, vous ne pouvez pas l’améliorer.
Communiquer
Le point ultime qui soutient l’alignement entre les domaines de la sécurité est la communication : à la fois la communication entre les équipes de sécurité et l’entreprise ainsi qu’au sein de l’équipe de sécurité. Le partage structuré de l’information ne peut qu’améliorer le profil de risque global et le niveau de préparation de l’entreprise.
Travailler ensemble
Ce qui diffère, c’est la solution pour protéger l’actif. Dans de nombreux cas, les menaces ne s’excluent pas mutuellement, ce qui signifie qu’un problème de sécurité physique peut affecter un système d’information et qu’un système d’information peut affecter la sécurité physique.
Dans un tel cas, la mise en œuvre d’une solution de sécurité appropriée exige que vous :
- Déterminiez clairement comment les deux services (habituellement cloisonnés) communiqueront entre eux et avec la société;
- Soyez en mesure d’expliquer clairement la nature de la menace pour la sécurité et ses implications;
- De fournir des données à l’appui de la solution de sécurité que vous proposez.
Avec cette approche d’une solution de sécurité – que la menace soit physique ou informatique à la source – les domaines de la sécurité physique et informatique peuvent s’aligner, et les cloisonnements vont s’effondrer. Une fois que les objectifs du service de sécurité seront en harmonie avec ceux de l’entreprise, l’équipe de sécurité sera vouée au succès.
