Sécurité positive :
L’élévation par la Responsabilité Sociétale
Thierry PERTUS
Mars 2013
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 2
►Avant-propos
Face à une certaine inertie am...
Sécurité positive : L’élévation par la Responsabilité Sociétale
p 3
Du constat au diagnostic
Mars 2013
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 4
►Les principaux freins à la SSI
1. Manque de...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Tangible
Intangible
Besoins secondaires :
Facteurs de déve...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Besoins tertiaires :
Facteurs de différentiation
et de dur...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Etat de l’art
Bonnes pratiques
Pratiques élémentaires
Beso...
Sécurité positive : L’élévation par la Responsabilité Sociétale
p 8
RS, Qualité et SSI : une alliance gagnante
Mars 2013
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 9
►Le Développement Durable (DD) décliné en en...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 10
►Les leviers stratégiques pour des pratique...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Objectif recherché Performance
Excellence et performance
d...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Profil de stratégie SSI Attentiste Réactif Proactif
Logiqu...
Sécurité positive : L’élévation par la Responsabilité Sociétale
• SSI = levier
potentiel
d’ouverture de
l’entreprise
• SSI...
Sécurité positive : L’élévation par la Responsabilité Sociétale
p 14
Un cadre méthodologique commun
et un plan d’action to...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 15
►Le modèle d’excellence EFQM (version 2013)...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 16
►Le modèle d’excellence EFQM (version 2013)...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 17
►Un plan d’action en 5 étapes clés pour une...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 18
►Bibliographie
Menaces informatiques et pra...
Sécurité positive : L’élévation par la Responsabilité Sociétale
Mars 2013 p 19
Disciple, c’est un grand jour !
Je vous ann...
Thierry PERTUS
Consultant senior
CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM
Cybersécurité
Powered by
securite@coni...
Prochain SlideShare
Chargement dans…5
×

Sécurité Positive : L'élévation par la Responsabilité Sociétale

350 vues

Publié le

Sécurité positive : L’élévation par la Responsabilité Sociétale - Thierry PERTUS - Conix

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
350
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
4
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité Positive : L'élévation par la Responsabilité Sociétale

  1. 1. Sécurité positive : L’élévation par la Responsabilité Sociétale Thierry PERTUS Mars 2013
  2. 2. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 2 ►Avant-propos Face à une certaine inertie ambiante et persistante au sein des organisations, et en dépit d’un cortège désormais pléthorique de référentiels, trouver les bons leviers pour faire appliquer systématiquement et uniformément les exigences de sécurité relève encore et toujours de la gageure pour le RSSI. Pour tenter de comprendre, certaines insuffisances récurrentes au niveau opérationnel, il parait nécessaire de prendre un peu de hauteur, en s’intéressant tout d’abord aux freins identifiés, mais également aux systèmes de gouvernance des entreprises, pour se risquer ensuite à faire un parallèle entre la sécurité et d’autres domaines au moins aussi transverses que sont le Développement Durable ou la Qualité. Par cette approche interdisciplinaire, nous allons pourtant voir comment deux disciplines aussi disjointes que la Sécurité du Système d’Information et la Responsabilité Sociétale des Entreprises (ou « RSE »), peuvent en définitive s’avérer positivement interdépendantes lorsqu’associées dans une démarche de progrès visant « excellence et performance durables ». ►Teaser (Positive security : Leveraging through social responsibility) It remains one of the main challenges for the CISO to find the right tools, despite the plethora of standards available, to systematically and coherently implement security requirements when faced with the enduring inertia of organizations. To try gain some understanding of frequent short-comings at operational level, it would be well to get a broader view by taking a step back: firstly by focusing on recognized obstacles, as well as on systems of corporate governance, then by drawing some comparisons between Security and such other cross-sector disciplines such as Sustainable Development or Quality. Using this interdisciplinary approach, we will see how two fields as far apart as Information Systems Security and Corporate Social Responsibility (“CSR") may be positively interdependent when applying the progressive objective of "sustainable excellence and performance " to them. Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 23 (Trimestriel Avril-Juin 2013)
  3. 3. Sécurité positive : L’élévation par la Responsabilité Sociétale p 3 Du constat au diagnostic Mars 2013
  4. 4. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 4 ►Les principaux freins à la SSI 1. Manque de financement (pour les ressources à mobiliser) 2. Manque de temps (impératifs opérationnels estimés prioritaires) 3. Manque de personnel qualifié (pour implémenter et maintenir) 4. Réticence des parties prenants utilisatrices ou exploitantes du SI (par rapport aux contraintes liées à la SSI) 5. Manque de culture sécurité (déficit de sensibilisation régulière) Source : Rapport CLUSIF – Menaces informatiques et pratiques de sécurité en France - Edition 2012 ►Un facteur clé pour adopter des pratiques SSI efficientes : la MOTIVATION ! Tendre vers la responsabilisation individuelle et autonome (« empowerment ») en référence à la notion de « motivation 3.0 » décrite par D. K. Pink Pratiquer la sécurité comme un acte positif et valorisant, dans le cadre d’un vaste programme d’entreprise tourné vers l’excellence. Impliquer les parties prenantes de façon à les faire évoluer vers le statut de parties intéressées
  5. 5. Sécurité positive : L’élévation par la Responsabilité Sociétale Tangible Intangible Besoins secondaires : Facteurs de développement personnel (motivation) Besoins primaires : Facteurs de subsistance (fondamentaux) Mars 2013 p 5 ►La Pyramide de Maslow, déclinée à l’entreprise et à ses besoins de sécurité [1/3] Besoins génériques des individus (Pyramide de Maslow originelle)
  6. 6. Sécurité positive : L’élévation par la Responsabilité Sociétale Besoins tertiaires : Facteurs de différentiation et de durabilité Besoins secondaires : Facteurs de rentabilité et de stabilité Besoins primaires : Facteurs de viabilité Croissancedel’entreprise (organiqueouexterne) Mars 2013 p 6 ►La Pyramide de Maslow, déclinée à l’entreprise et à ses besoins de sécurité [2/3] Besoins génériques des entreprises (Pyramide de Maslow adaptée)
  7. 7. Sécurité positive : L’élévation par la Responsabilité Sociétale Etat de l’art Bonnes pratiques Pratiques élémentaires Besoindesécurité/maturitéSSI Mars 2013 p 7 ►La Pyramide de Maslow, déclinée à l’entreprise et à ses besoins de sécurité [3/3] Besoins génériques des entreprises en matière de SSI (Pyramide de Maslow adaptée)
  8. 8. Sécurité positive : L’élévation par la Responsabilité Sociétale p 8 RS, Qualité et SSI : une alliance gagnante Mars 2013
  9. 9. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 9 ►Le Développement Durable (DD) décliné en entreprise au travers de la Responsabilité Sociétale (RS) en guise de nouveau levier pour l’élévation du niveau de maturité SSI Les 3 dimensions DD / RS Les 7 questions centrales de la RS selon la norme ISO 26000
  10. 10. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 10 ►Les leviers stratégiques pour des pratiques de sécurité efficientes
  11. 11. Sécurité positive : L’élévation par la Responsabilité Sociétale Objectif recherché Performance Excellence et performance durables Critères dominants Pertinence, efficacité, fiabilité Cohérence, efficience, pérennité Référentiels privilégiés Règlementation applicable, bonnes pratiques Règlementation applicable, cadre normatif, état de l’art Satisfaction des parties prenantes porteuses d’enjeux Créanciers, actionnaires et autorités de tutelle Communauté élargie de la sphère d’influence Capitaux valorisés Tangibles Intangibles Mesure des résultats (Nature des indicateurs de reporting) Exclusivement quantitative Principalement qualitative Horizon temporel de la gouvernance Immédiat / court terme Moyen / long terme Démarche méthodologique Pragmatisme économique (nécessaire et suffisant) Approche holistique et intégrée (convergence et synergies) Orientation de la stratégie Continuité d’activité, conformité règlementaire Crédibilité, confiance et différentiation durables Mars 2013 p 11 ►Les 2 niveaux d’objectifs possibles de la RS et de la SSI dans les stratégies d’entreprise
  12. 12. Sécurité positive : L’élévation par la Responsabilité Sociétale Profil de stratégie SSI Attentiste Réactif Proactif Logique d'action dans la stratégie d'entreprise Exclusion de la SSI Conformisme aux obligations légales et règlementaires Dépassement du cadre règlementaire Intégration de la SSI à la gouvernance d'entreprise Dissociation absolue Dissociation relative Association, management intégré Type d'arbitrage Aspects économiques privilégiés Aspects économiques, conformité légale et règlementaire privilégiés Rationalisation des investissements, confiance vis- à-vis des parties prenantes, différentiation concurrentielle privilégiés Portée de la vision Très court à court terme Court à moyen terme Long à très long terme Conception de la responsabilité Economique Economique, juridique et règlementaire Economique, juridique et règlementaire, mais également sécuritaire Objectifs poursuivis Profit maximal Maintien du profit optimal et préservation de la confiance Profit optimal, amélioration de la sécurité, recherche de davantage de confiance Perception des investissements liés à la SSI Coûts inutiles (à fonds perdus) à éviter, antagoniste avec le profit Coûts nécessaires et suffisants à minimiser Investissements justifiés, voire rentables, au regard des risques couverts et des enjeux Exigences en termes de SSI Aucune, sinon minimalistes Satisfaction fonctionnelle aux clauses normatives Implémentation des bonnes pratiques jusqu’à l’état de l’art Perception de la SSI Menace Contrainte Opportunité Perception prévisible des parties prenantes Méfiance Défiance Confiance Mars 2013 p 12 ►Les 3 approches de la RS et de la SSI dans les stratégies d’entreprise
  13. 13. Sécurité positive : L’élévation par la Responsabilité Sociétale • SSI = levier potentiel d’ouverture de l’entreprise • SSI = source de coût et frein à la performance • SSI = composante essentielle à la performance • SSI = contrainte à caractère obligatoire donc applicable Vision règlementaire Vision intégrée Vision opportuniste Vision réfractaire Posture « ouverte » vis-à-vis de la SSI (enthousiasme) Posture « fermée » vis à vis de la SSI (scepticisme) Culture SSI limitée Culture SSI avancée Mars 2013 p 13 ►Les 4 types de perception de la SSI dans la gouvernance d’entreprise
  14. 14. Sécurité positive : L’élévation par la Responsabilité Sociétale p 14 Un cadre méthodologique commun et un plan d’action tourné vers l’excellence Mars 2013
  15. 15. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 15 ►Le modèle d’excellence EFQM (version 2013) adapté à la SSI [1/2]
  16. 16. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 16 ►Le modèle d’excellence EFQM (version 2013) adapté à la SSI [2/2] ◄ 100% : Reconnaissance en tant qu’organisation modèle ◄ 75% : Capacité à fournir des preuves complètes ◄ 50% : Capacité à fournir des preuves solides ◄ 25% : Capacité à fournir des preuves limitées ◄ 0% : Incapacité à fournir des preuves ▼ Echelle d’évaluation des attributs Facteurs et Résultats Les 8 concepts fondamentaux de l’EFQM ► ▼ L’outil de management et d’évaluation « RADAR » de l’EFQM
  17. 17. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 17 ►Un plan d’action en 5 étapes clés pour une approche RS et SSI gagnante
  18. 18. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 18 ►Bibliographie Menaces informatiques et pratiques de sécurité en France - Edition 2012 (CLUSIF) Le développement durable - Théorie et application au management – 2e édition - Rédaction collaborative sous la direction de Dominique Wolff (DUNOD) ISO 26000 : Responsabilité sociétale (AFNOR) Le guide de l'EFQM - version 2013 - Florent A. Meyer (LEXITIS) Des salariés engagés : Qualité du management et performance de l’entreprise – Juin 2012 – Hubert Landier (Institut de l’entreprise) La vérité sur ce qui nous motive – Daniel K. Pink (LEDUC.S)
  19. 19. Sécurité positive : L’élévation par la Responsabilité Sociétale Mars 2013 p 19 Disciple, c’est un grand jour ! Je vous annonce que j’ai enfin mis au point ma fameuse formule de motivation 3.0 : un soupçon de RSE, un zest de Qualité, et le tour est joué ! Voulez-vous être mon cobaye ? S’il s’imagine que cela va me faire lever plus tôt … Source* : www.leonardlegenie.com « Léonard - Série TV » de Turk & De Groot (CANAL J / GULLI / ARANEO et les Editions LE LOMBARD). * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
  20. 20. Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.

×