Mise en œuvre de la norme ISO 27001 à l'échelle de plusieurs entités sans perdre le contrôle de la gouvernance

La mise en œuvre de la norme ISO 27001 au sein d'une seule entité est une tâche exigeante. L'étendre à plusieurs sites, filiales ou juridictions introduit un niveau de complexité d'une tout autre ampleur.

L'exposition aux risques varie selon les sites. Les cadres réglementaires diffèrent d'une juridiction à l'autre. La responsabilité des contrôles est répartie entre les équipes, les zones géographiques et les structures organisationnelles. Les environnements technologiques divergent, chaque entité développant sa propre infrastructure, ses propres services cloud et ses propres dépendances vis-à-vis de tiers.

Sans alignement structurel, le SMSI se fragmente.

Ce qui commence par un programme de sécurité de l'information centralisé se transforme peu à peu en une multitude d'interprétations locales de ce programme. Chaque entité veille au respect des exigences techniques, tandis que la gouvernance de la sécurité à l'échelle de l'entreprise se détériore discrètement en arrière-plan.

Il est de plus en plus important de comprendre pourquoi ce phénomène se produit et ce qu'il faut faire pour l'éviter, à mesure que les organisations se développent par le biais d'acquisitions, d'une expansion internationale et d'une complexité opérationnelle croissante.

Le défi de la gouvernance multisite

De nombreux aspects de la gouvernance peuvent être adaptés au niveau local dans une large mesure. Les programmes de gestion environnementale, par exemple, peuvent tenir compte des conditions opérationnelles propres à chaque site tout en restant globalement alignés sur la politique de l'entreprise. Les programmes de sécurité physique peuvent être adaptés aux exigences réglementaires locales sans pour autant créer de contradiction fondamentale au niveau de la gouvernance.

La sécurité de l'information ne peut pas être gérée efficacement de la même manière.

La raison est d’ordre structurel. Les environnements modernes de sécurité de l’information se caractérisent davantage par leur interdépendance que par leur indépendance. Les services cloud fonctionnent au-delà des frontières organisationnelles. Les infrastructures partagées relient des entités qui peuvent être distinctes tant sur le plan géographique qu’opérationnel. Les flux transfrontaliers de données entraînent des obligations réglementaires qui s’étendent simultanément à plusieurs juridictions. Une vulnérabilité dans l’environnement d’une entité peut exposer l’ensemble de l’entreprise à des risques en l’espace de quelques heures.

Cette interdépendance signifie que les décisions de gouvernance locales prises au sein d’une entité ont des répercussions sur la sécurité à l’échelle de l’entreprise. Lorsque chaque entité tient à jour ses propres registres des risques, l’organisation ne peut pas identifier les schémas d’exposition communs à plusieurs sites tant qu’ils ne se manifestent pas sous forme d’incidents. Lorsque les référentiels de contrôles divergent d’un site à l’autre, la posture de sécurité de l’entreprise devient incohérente, sans que la direction centrale ne s’en rende compte. Lorsque les cycles d’audit se déroulent de manière indépendante d’une entité à l’autre, l’organisation accumule des preuves de conformité tout en perdant la capacité d’évaluer l’efficacité systémique de la sécurité sur l’ensemble de son périmètre opérationnel.

La gouvernance multisite ne se résume donc pas à un simple défi de coordination. Il s'agit d'un problème d'architecture structurelle. Les organisations qui parviennent à le résoudre le font en concevant dès le départ leur SMSI de manière à assurer la cohérence à l'échelle de l'entreprise, plutôt qu'en tentant d'aligner a posteriori des programmes locaux qui ont évolué indépendamment les uns des autres.

Gouvernance centrale, mise en œuvre locale

Le modèle de gouvernance qui permet de gérer le plus efficacement la complexité liée à la mise en œuvre de la norme ISO 27001 dans un environnement multi-sites est celui qui repose sur une distinction claire entre ce qui doit être uniforme à l'échelle de l'entreprise et ce qui peut légitimement varier d'un site à l'autre.

La gouvernance centrale définit les éléments non négociables. Les méthodologies d’évaluation des risques doivent suivre un modèle cohérent dans toutes les entités, afin que les niveaux d’exposition soient comparables et puissent être agrégés pour offrir une vue d’ensemble à l’échelle de l’entreprise. Le suivi de l’efficacité des contrôles doit être structuré de manière centralisée afin que la direction puisse évaluer la posture de sécurité à l’échelle de l’organisation, plutôt que d’examiner des synthèses de conformité produites localement. Les processus de mesures correctives gérés via CAPA Management doivent s’inscrire dans des processus de gouvernance unifiés, afin que les enseignements tirés au sein d’une entité puissent éclairer les décisions opérationnelles des autres entités.

La mise en œuvre au niveau local tient compte des différences légitimes. Les exigences réglementaires varient d’une juridiction à l’autre, et la mise en place des contrôles doit refléter ces différences. Les environnements technologiques varient d’un site à l’autre, et les décisions relatives à la gestion des risques doivent tenir compte des réalités opérationnelles locales. Les structures des équipes et les rythmes opérationnels diffèrent d’une entité à l’autre, et les processus de gouvernance doivent être conçus pour s’adapter à ces réalités plutôt que d’exiger un comportement opérationnel identique partout.

Il est difficile de maintenir l'équilibre entre la gouvernance centrale et l'exécution locale par la seule coordination. Lorsque cet équilibre repose sur la discipline individuelle, sur des réunions de mise en cohérence programmées et sur la consolidation manuelle des rapports, il s'érode progressivement à mesure que la pression opérationnelle s'intensifie au sein de l'organisation. Les entités commencent alors à adapter les processus de gouvernance en fonction de leurs commodités locales plutôt que des exigences de l'entreprise. Le siège perd en visibilité. Les équipes locales perdent le lien avec le modèle de gouvernance de l'entreprise.

Pour maintenir cet équilibre sur le plan structurel, il est nécessaire que la logique de gouvernance centrale soit intégrée aux processus opérationnels utilisés quotidiennement par les entités locales, et non pas simplement communiquée par le biais de mécanismes de contrôle périodiques qui entrent en concurrence avec les priorités opérationnelles.

Les défaillances spécifiques en matière de gouvernance qui s'aggravent à grande échelle

Les environnements ISO 27001 multi-sites ont tendance à générer des défaillances de gouvernance selon des schémas prévisibles. Il est important de comprendre ces schémas, car ils sont difficiles à détecter à partir d'un seul point de vue au sein de l'organisation.

La fragmentation des registres des risques constitue la défaillance la plus courante et la plus grave. Lorsque chaque entité procède de manière indépendante à sa propre évaluation des risques, l’entreprise n’est pas en mesure d’identifier les schémas de vulnérabilité communs à plusieurs sites qui représentent l’exposition systémique la plus importante. Une faiblesse récurrente des contrôles répartie sur cinq sites est nettement plus importante à traiter qu’un risque unique de gravité élevée sur un seul site, mais une gouvernance des risques fragmentée rend ce schéma de répartition invisible jusqu’à ce qu’il donne lieu à un incident.

Un suivi incohérent des contrôles engendre une fausse confiance au niveau de l'entreprise. Lorsque l'efficacité des contrôles est évaluée localement à l'aide de critères, de méthodologies et de fréquences différents, la direction centrale reçoit des synthèses de conformité qui ne peuvent être comparées ou agrégées de manière pertinente. L'organisation estime avoir une bonne visibilité sur son niveau de sécurité. En réalité, elle sait simplement si les équipes locales ont mené à bien leurs activités de suivi.

Les cycles d'audit menés de manière indépendante d'une entité à l'autre ne permettent, par nature, pas de mettre en évidence les problèmes systémiques. Lorsque les programmes d'audit ne sont pas coordonnés par la direction de l'audit à l'échelle de l'entreprise, celle-ci produit une série d'évaluations de conformité au niveau de chaque site plutôt qu'une évaluation cohérente des performances du SMSI à l'échelle de l'entreprise dans son ensemble.

L'isolement des mesures correctives entrave l'apprentissage organisationnel. Lorsqu'un incident de sécurité survenant sur un site donne lieu à une mesure corrective qui est mise en œuvre localement sans influencer l'évaluation des risques ni le suivi des contrôles au sein des autres entités, l'entreprise continue de fonctionner partout ailleurs dans les mêmes conditions que celles qui ont provoqué l'incident.

Intégrer la sécurité dans la gestion des risques d'entreprise

La norme ISO 27001 ne doit pas être mise en œuvre indépendamment de la gestion globale des risques de l'entreprise, et dans les environnements comportant plusieurs sites, cette isolation a des conséquences particulièrement importantes.

Les risques liés à la sécurité de l'information sont de plus en plus étroitement liés à la continuité opérationnelle, à la conformité réglementaire, à la résilience de la chaîne d'approvisionnement et aux risques stratégiques de l'entreprise, d'une manière qui ne peut être gérée efficacement dans le cadre d'un SMSI isolé. Un incident de sécurité majeur ne se résume pas à un simple problème technique. Il entraîne simultanément une perturbation opérationnelle, une exposition aux risques réglementaires, un risque pour la réputation et une responsabilité contractuelle potentielle.

Lorsque le risque de sécurité est intégré de manière structurelle aux processus plus larges de gestion des risques, les dirigeants bénéficient d’une visibilité à l’échelle de l’entreprise qui va au-delà de la seule sécurité de l’information. Les tendances en matière de sécurité entre les différents sites apparaissent ainsi parallèlement aux tendances relatives aux risques opérationnels et réglementaires. Les vulnérabilités systémiques peuvent alors être traitées de manière stratégique et hiérarchisées, plutôt que de manière réactive, comme s’il s’agissait d’incidents isolés.

Cette intégration modifie également la qualité du processus décisionnel au niveau de la direction. Lorsque les dirigeants au sein du conseil d’administration ont accès à des informations connectées sur les risques, couvrant à la fois la sécurité de l’information, la continuité opérationnelle et la conformité réglementaire, ils peuvent prendre des décisions éclairées en matière d’allocation des ressources en se basant sur l’exposition actuelle de l’entreprise, plutôt que sur des résumés de conformité ponctuels issus de programmes de gouvernance isolés les uns des autres.

Dans les environnements multi-sites, cette intégration des risques d'entreprise n'est pas facultative. Alors que les cadres réglementaires tiennent de plus en plus les dirigeants personnellement responsables des défaillances en matière de gouvernance de la sécurité de l'information, la capacité à démontrer une gestion cohérente et continue des risques de sécurité à l'échelle de l'entreprise devient une exigence de gouvernance plutôt qu'une simple bonne pratique.

Des entités fragmentées à une gouvernance intégrée de la sécurité

Le passage d'une multitude de déploiements de systèmes de gestion de la sécurité de l'information (SGSI) gérés localement à un modèle unique et intégré de gouvernance de la sécurité d'entreprise nécessite un changement structurel dans la manière dont l'organisation conçoit et met en œuvre ses processus de gouvernance.

L’évaluation des risques doit s’inscrire dans une méthodologie cohérente à l’échelle de l’ensemble des entités, afin que les niveaux d’exposition soient comparables, agrégables et visibles en temps réel par la direction de l’entreprise, plutôt que d’être compilés lors de consolidations périodiques. Le suivi des contrôles doit être structuré de manière centralisée afin que les données relatives à l’efficacité alimentent les processus de gouvernance, plutôt que de rester confinées dans les registres de conformité locaux. Les programmes d’audit coordonnés par [la direction de l’audit] doivent évaluer la performance du SMSI à l’échelle de l’entreprise, plutôt que de se contenter de vérifier la conformité aux procédures locales sur chaque site.

Lorsque ces processus s'inscrivent dans un cadre de gouvernance unique et interconnecté, le SMSI multisite cesse d'être un simple ensemble de programmes locaux alignés. Il devient alors un modèle de gouvernance de la sécurité d'entreprise orchestré, au sein duquel l'information circule en continu entre les entités, les niveaux de gouvernance et les échelons de direction.

Cela modifie les capacités de l'organisation. Les schémas de vulnérabilité en matière de sécurité, tous sites confondus, deviennent visibles avant même qu'ils ne donnent lieu à des incidents. Les mesures correctives gérées via le système CAPA favorisent l'apprentissage organisationnel plutôt qu'une résolution ponctuelle. La direction bénéficie d'une visibilité continue sur l'état de sécurité de l'entreprise, plutôt que de devoir rassembler des synthèses fragmentées provenant d'entités indépendantes.

Il en résulte un SMSI qui évolue au rythme de l'organisation, sans se fragmenter à mesure qu'elle se développe.

Visibilité du leadership à l'échelle de l'entreprise

À mesure que les organisations se développent à l'international, la visibilité de la direction devient l'une des compétences de gouvernance les plus importantes et les plus difficiles à maintenir dans le cadre d'un programme ISO 27001 impliquant plusieurs sites.

Les dirigeants ont besoin de bien plus que de simples rapports agrégés sur la conformité locale. Ils doivent pouvoir exercer une surveillance continue des risques de sécurité inter-sites, des schémas récurrents de vulnérabilité, de l'efficacité des mesures correctives mises en œuvre dans l'ensemble des entités, des tendances en matière de risques liés aux tiers et à la chaîne d'approvisionnement, ainsi que des performances d'audit à l'échelle de l'entreprise dans son ensemble.

Lorsque la gouvernance de la sécurité fonctionne en silos d’une entité à l’autre, la supervision par la direction se retrouve structurellement fragmentée. Les dirigeants reçoivent des résumés des activités locales en matière de conformité plutôt qu’une vision d’ensemble de la posture de sécurité de l’entreprise. Les décisions stratégiques concernant les investissements en matière de sécurité, l’appétit pour le risque et l’amélioration de la gouvernance sont prises sur la base d’informations incomplètes, rassemblées au moyen de processus de consolidation manuels qui entraînent des retards, des incohérences et une visibilité sélective.

La gouvernance intégrée modifie cette dynamique. Lorsque l’évaluation des risques, le suivi des contrôles, la gestion des incidents et les mesures correctives s’inscrivent dans une architecture de gouvernance unique et interconnectée couvrant l’ensemble des entités, les dirigeants bénéficient d’une visibilité fiable, actualisée et générée de manière systématique sur l’état de sécurité de l’entreprise. Les rapports destinés au conseil d’administration reflètent la réalité opérationnelle plutôt que de se limiter à des synthèses périodiques sur la conformité.

C'est à ce stade que la responsabilité des dirigeants en matière de sécurité de l'information prend tout son sens sur le plan opérationnel. Les dirigeants peuvent alors agir face aux risques de sécurité plutôt que de se contenter de les constater. Les décisions de gouvernance s'appuient sur des données issues de l'ensemble de l'entreprise plutôt que sur des éléments probants recueillis localement.

La maturité en matière de sécurité à l'échelle de l'entreprise dépend de l'architecture, et non de la situation géographique.

Conformité continue à grande échelle

Le maintien d'une conformité permanente à la norme ISO 27001 au sein de plusieurs entités nécessite un modèle de gouvernance fondamentalement différent de celui qui s'applique à un site unique.

Une harmonisation périodique ne suffit pas. Lorsque les entités synchronisent leurs activités de gouvernance par le biais de cycles de révision programmés, l’entreprise reste en permanence exposée à l’écart qui existe entre ces cycles. Les menaces évoluent. Les environnements opérationnels changent. Les obligations réglementaires évoluent. Une organisation multi-sites qui s'appuie sur un alignement périodique pour maintenir la cohérence de sa gouvernance gère en permanence le niveau de sécurité qu'elle avait au dernier point de synchronisation, plutôt que celui dont elle dispose aujourd'hui.

Pour garantir une conformité continue, les processus de gouvernance doivent s’adapter aux événements opérationnels plutôt qu’aux calendriers d’audit. Lorsqu’une nouvelle vulnérabilité est identifiée au sein d’une entité, l’évaluation des risques doit être mise à jour à l’échelle de l’entreprise. Lorsqu’une constatation d’audit est générée via [Audit Management], elle doit influencer la hiérarchisation des contrôles dans toutes les entités concernées, plutôt que d’être résolue localement. Lorsqu’une action corrective est menée à bien, son efficacité doit être validée au fil du temps, plutôt que présumée dès sa clôture.

Ce niveau de cohérence continue en matière de gouvernance entre plusieurs entités ne peut être atteint par la seule coordination. Il nécessite une architecture de gouvernance intégrée dans laquelle les processus utilisés par les entités locales sont structurellement reliés à la gouvernance d'entreprise en temps réel, plutôt que d'être simplement communiqués périodiquement à la hiérarchie supérieure par le biais de mécanismes manuels.

Une fois cette architecture mise en place, la gouvernance s'adapte à l'évolution de l'organisation sans multiplier les systèmes. La conformité est assurée en permanence, plutôt que démontrée périodiquement. La maturité en matière de sécurité devient une caractéristique structurelle de l'organisation, plutôt qu'une fonction de la date à laquelle le dernier audit a été réalisé.

La maturité en matière de sécurité dépend de l'architecture, et non de la situation géographique.