QU’EST-CE QU’UNE ANALYSE DE RISQUE CYBER?

Vous êtes-vous déjà demandé ce qui se passerait si un appareil que votre entreprise a mis au point et qu’elle vend divulguait les données qu’elle recueille ? Ou si ces données étaient corrompues ou soudainement rendues indisponibles ? Qu’est-ce qui serait le plus préjudiciable ? Et si votre solution était vulnérable à une cyberattaque ? Les conséquences pourraient-elles être une prise de contrôle d’un ou de plusieurs appareils qui entraînerait un risque pour la sécurité, comme un bâtiment qui prendrait feu ou même une victime humaine ? Ou peut-être s’agirait-il « seulement » d’une attaque pivot sur le réseau de votre client qui entraînerait une incapacité totale de fonctionnement de votre entreprise et de celle de votre client.

Si vous êtes en train de développer une solution IoT et que vous ne faites pas de dépression nerveuse en envisageant de telles possibilités, vous vous demandez probablement pourquoi votre RSSI (Responsable de la Sécurité des Systèmes d’Information) n’en fait pas une.

C’est probablement parce que votre RSSI a une méthode : il considère chaque risque d’un point de vue impartial et de manière comparable. La première étape importante consiste à s’assurer que chaque risque est correctement évalué (c’est-à-dire qu’il n’est ni surestimé, ni sous-estimé) et à partager les résultats de cette évaluation avec toutes les parties prenantes du projet. Une fois que toutes les parties prenantes se sont mises d’accord sur chaque risque, votre entreprise dispose d’une base adéquate pour décider des mesures de contrôle à implémenter.

Cette approche ne signifie pas que vous devez traiter tous les risques au point que votre solution soit pratiquement impossible à mettre en œuvre. D’ailleurs, c’est techniquement impossible, et votre budget disparaîtrait bien avant d’avoir atteint une solution dite de risque zéro. Chaque mesure de contrôle doit être hiérarchisée et proportionnelle à la probabilité et à la gravité du risque.

Ce que nous avons décrit ci-dessus est connu sous le nom de méthodologie d’analyse des risques. Les professionnels de la cybersécurité utilisent cette méthodologie comme base de référence pour les initiatives de leur entreprise en matière de cybersécurité. Les professionnels évaluent les scénarios de risque (souvent liés à la disponibilité des services, à l’intégrité des données, à la confidentialité et/ou à la traçabilité des actions) et les impacts sur l’image de marque de leur entreprise, les responsabilités légales, les conséquences sur la sécurité et bien sûr les résultats financiers. Plus le risque est évalué, plus la priorité est accordée à la réduction de la probabilité que le risque se produise (par exemple, ajouter des barrières à une attaque, réduire la surface d’attaque, etc.) ou à la gravité des résultats si le risque se produit (par exemple, appliquer une segmentation pour réduire la propagation d’une attaque).

Si vous voulez en savoir plus sur les méthodes d’analyse des risques existantes, vous devriez commencer par la norme ISO27005, qui a un large champ d’application et de compréhension dans divers secteurs.

Soyez rassuré sur le fait que parler des risques n’augmentera pas la probabilité que le problème se produise (si jamais vous le craigniez), mais ne pas en parler fait courir un grand risque au projet.

EN QUOI L’ANALYSE DES RISQUES D’UN PROJET IOT EST-ELLE DIFFÉRENTE ?

Nous espérons vous avoir convaincu de l’importance de l’analyse des risques de votre projet ; nous verrons comment vous pouvez vous y prendre rapidement dans le prochain chapitre. Avant d’en arriver là, nous allons détailler ce qui rend l’exercice spécifique à un projet IoT: quelles sont les caractéristiques de tels projets et qu’est-ce qui rend l’analyse des risques plus difficile ou plus simple ?

Commençons par les caractéristiques communes qui doivent être prises en compte pour une analyse des risques. Tout d’abord, une initiative IoT repose souvent sur un réseau de matériel très décentralisé (capteurs, passerelles, serveurs, etc.). Ces dispositifs peuvent être répartis sur une vaste zone géographique, parfois dans le monde entier, et sont destinés à rester longtemps sur le terrain avec peu ou pas de maintenance sur place. Il est courant de voir des dispositifs IoT B2B dont la durée de vie dépasse 10 ans (par exemple, un projet de mesure de l’eau pour les entreprises de services publics). Les dispositifs B2C peuvent également viser de telles durées de vie – pensez par exemple aux véhicules connectés. Il convient également de noter que les dispositifs IoT ont généralement des interfaces utilisateur limitées, telles qu’un écran et un clavier. Malgré cela, les boutons, les LED et les applications mobiles permettent les interactions ou les personnalisations nécessaires à l’appareil IoT pour que vous puissiez collecter des données sur le terrain. N’oubliez pas que les données collectées à partir des appareils connectés sont en fait là où réside toute la valeur de tels objets. Ainsi, le fait que ces données soient ou non critiques est essentiel dans l’évaluation des risques. Enfin, nous devons nous rappeler qu’un projet IoT est toujours un projet informatique. Si les dispositifs ne sont pas des ordinateurs portables typiques, les serveurs d’application et le stockage restent centraux dans la plupart des cas. C’est là qu’une grande partie du risque demeure, mais heureusement, il existe de nombreuses bonnes pratiques pour cette partie de la solution également.

Du point de vue de la cybersécurité, ces caractéristiques peuvent rendre les projets IoT plus risqués. Par exemple :

• La sécurité physique d’un réseau décentralisé est très difficile à implémenter. Où sont situés les appareils ? Sont-ils accessibles au public ? Quelqu’un peut-il facilement les voler, les endommager ou les altérer ? Par exemple, un tracker installé sur une palette se déplace à l’extérieur des locaux de confiance et peut être endommagé ou retiré – intentionnellement ou non. Bien entendu, ce risque est amplifié par une empreinte géographique plus large.
• Étant donné les interactions limitées des utilisateurs et la durée de vie plus longue des appareils, leur maintenance peut devenir très coûteuse et longue, surtout si vous devez dépêcher physiquement des techniciens. Une intervention manuelle peut être tout simplement irréaliste, mais même les mises à jour de microprogrammes ont un taux d’échec. Pour toutes ces raisons, les contrôles doivent être pertinents à long terme
• Dans tout projet IoT, la sensibilité des données est un facteur qui doit être pris en compte. Est-ce un facteur critique pour votre entreprise ? Pour les projets de consommation, la sensibilité des données peut être perçue comme très élevée car les appareils collectent des données du monde « réel ».
• Les solutions IoT sont constituées de nombreuses technologies et de nombreux fournisseurs différents. Cela constitue un réel défi : quelles sont les pratiques de sécurité suivies par chacun de ces fournisseurs et ces pratiques couvrent-elles suffisamment les risques identifiés ?
• Enfin, les contrôles de sécurité qui peuvent être appliqués dépendent des capacités des appareils et des logiciels. Par exemple, de nombreux capteurs fonctionnent sur des MCU 8 bits et ne peuvent donc pas exécuter des algorithmes de chiffrement compliqués.

ALORS MAINTENANT, COMMENT PUIS-JE COMMENCER ?

Prenez une grande respiration et impliquez votre RSSI.

Le RSSI doit identifier et évaluer les réglementations applicables, décider du niveau de risque acceptable, fournir des politiques à suivre et des outils pour mettre en œuvre les mesures de sécurité. Peut-être devriez-vous nommer un responsable de la sécurité des produits pour s’occuper spécifiquement de la sécurité de l’IoT dans votre entreprise ou même de la sécurité d’un produit IoT spécifique si les enjeux l’exigent.

Pour atteindre un niveau de sécurité acceptable, il faudra disposer d’une expertise dans les différents domaines de l’IoT. Si vous êtes cet expert, vous devriez probablement être prêt à vous impliquer. Cela amènera toute l’équipe à envisager:

• La sécurité de bout en bout sur la pile technologique : du matériel au cloud, y compris les logiciels intégrés, la connectivité réseau, les applications mobiles, etc.
• La sécurité de bout en bout du point de vue du cycle de vie des appareils. Lorsque vous concevez votre appareil, pensez à toutes les phases : de la fabrication à la distribution ; de la première utilisation à l’utilisation normale ; revente, remise à neuf, recyclage ou mise à la poubelle.
• L’implication des partenaires : veillez à ne pas les oublier et évaluez leur maturité. Vous devrez peut-être prendre des mesures pour les soutenir ou les perfectionner (conseil : demandez à votre RSSI ou à votre responsable de la sécurité des produits).
• L’audit de votre appareil et de toute la pile technologique. Faites-le régulièrement car il se peut que votre logiciel n’ait pas changé mais que les menaces et les vulnérabilités connues aient évolué.
• Les mises à jour et la maintenance de la sécurité à long terme : définissez pendant combien de temps vous allez mettre à jour et déployer vos appareils.
• L’organisation de la réponse aux incidents : définissez comment vous pouvez être informé des vulnérabilités ou des brèches et comment vous pouvez prévoir d’y répondre (d’un point de vue technique et de communication).

La cybersécurité de l’IoT n’est pas impossible. Elle fournit en fait des méthodologies et des outils pour aider à créer un environnement sûr.

Les acteurs du projet et les clients recherchent des produits sûrs et font pression pour qu’ils le soient. La réglementation visant à faire respecter la sécurité est imminente et les cadres de référence permettant d’aider chaque acteur à s’aligner sur ses devoirs continueront d’être appliqués. Il est temps d’aller de l’avant dès maintenant si vous cherchez à faire de la cybersécurité un atout pour votre produit sur votre marché !

Cet article Analyse des risques et IoT: un mariage d’amour ou de raison ? est apparu en premier sur RiskInsight.

Les budgets sont « resserrés », les ressources « ajustées », l’efficacité devient une nécessité et non plus un objectif pieux…Tout investissement doit être réfléchi, optimisé afin d’apporter une réponse au juste prix à un besoin stratégique ou vital pour l’entité. Il doit présenter un retour sur investissement certain.

Un enjeu auquel répond la GPP (gestion de portefeuille de projets).  

Ne pas uniquement « bien faire les projets », mais « faire les bons projets » !

L’optimisation des investissements demande analyse et arbitrage sur l’ensemble des projets et non pas unitairement projet par projet. Pour les aider dans ces choix stratégiques, les directions entendent disposer de systèmes d’aide à la gouvernance efficients, leur apportant une vision globale, pertinente et actualisée des apports potentiels, des coûts et contraintes de mise en œuvre et des risques pour l’ensemble des projets, « candidats » et « actifs ».

D’abord mise en œuvre au milieu des années 90s par les directions « Métiers » pour la gestion de projets de produits, les DSI se sont intéressées à la Gestion de Portefeuille de Projets (GPP) dès que la nécessité de réduire leurs coûts et d’améliorer le respect de leurs engagements a exigé une plus grande rationalisation de l’allocation de leurs ressources.

Les résultats attendus d’une GPP consistent à répondre à tout ou partie des enjeux suivants :

• lancer les bons projets au bon moment, accroître leur alignement aux stratégies métiers et à celle de l’entreprise ;
• favoriser la transparence et une meilleure communication ;
• améliorer la prise de décision et la qualité des arbitrages par la mise en place de critères objectifs, préalablement définis par rapport aux enjeux et objectifs de l’entité ;
• faciliter le pilotage des budgets et des ressources par la consolidation et une meilleure cohérence des informations et enfin, améliorer la synergie entre projets, augmentant de fait le retour sur investissement général.

Ces résultats nécessitent toutefois la mise en place d’un système de gestion de portefeuille de projets fiable, suffisamment réactif et robuste permettant d’évaluer, sélectionner et prioriser les projets en toute adéquation avec la stratégie de l’entité.

Des pré-requis indispensables

Bien que la GPP ne soit pas le simple résultat d’une consolidation des informations de gestion des projets, elle doit tout de même pouvoir s’appuyer sur la mise en œuvre rigoureuse, sur chaque projet, d’une gestion de projet, apte à remonter régulièrement des données (charge, coûts, délais, risques, gains…) fiables nécessaires à l’élaboration des outils de la GPP. Ce pré-requis en appelle d’autres tout aussi indispensables, à savoir : disposer d’une bonne culture projet au sein de l’entreprise, mettre en place des organisations « projet » pour chaque projet, définir les processus de management de l’entreprise (budgétaire, pilotage et arbitrage) assurant l’homogénéité des pratiques, l’existence d’instances et de processus de gouvernance exploitant les produits de la gestion de portefeuille de projets et la légitimant.

Et même si cela peut surprendre… il peut même être nécessaire de définir ce qu’est un projet, tant la notion parait floue au sein de certaines entités.

Une fois les conditions réunies, reste à se donner toute les chances de succès dans la mise en place de la démarche. Une mise en œuvre que nous détaillerons dans un prochain épisode.

Cet article La gestion de portefeuilles de projets : un outil de gouvernance indispensable en ces temps de crise ? est apparu en premier sur RiskInsight.

Un appui pour le management…

L’activité principale d’une cellule PMO est de consolider des données afin de réaliser le reporting du programme. Le suivi des 6 axes de pilotage (qualité, délai, coûts, risques, ressources et changements) apporte au management les éléments nécessaires d’aide à la décision. Mais limiter le rôle de la cellule à cette seule activité de coordination crée une distance avec les équipes opérationnelles. Cette distance limite la remontée d’informations fiables de la part des équipes et rend impossible toute conduite du changement efficace.

…mais également pour les acteurs opérationnels

La constitution d’une cellule composée d’équipes de pilotage et d’équipes de réalisation assure un pilotage efficace, sans perturbation de l’activité récurrente. De plus, l’autonomie de cette cellule permet de réaliser rapidement les arbitrages nécessaires et d’accélérer la prise de décision. Cette autonomie et cette indépendance dans la prise de décision augmentent le risque d’effet tunnel. Il devient alors indispensable de réaliser une conduite du changement forte auprès des équipes en fin de programme.

Le dialogue en réponse à la résistance au changement

La cellule PMO est souvent confrontée à la réticence des chefs de projet qui la perçoive comme un acteur interférant dans leur relation avec le management. L’ajout de ressources techniques à la cellule minimise ces résistances. Cette structure permet d’apporter le support nécessaire en termes de communication et de gestion du changement. Les équipes opérationnelles restent autonomes sur leur périmètre et disposent d’un relai opérationnel garantissant la cohérence technique. Ce relai restant toutefois éloigné des équipes, il ne peut pas garantir la fiabilité de l’avancement qui lui est remonté.

Imposer la légitimité de la fonction et assurer la perception de sa valeur ajoutée

Il est courant pour une cellule PMO d’être perçue comme une couche additionnelle « superflue » de la gestion de projet. Si la légitimité du PMO dépend en partie de son positionnement hiérarchique et de sa proximité avec le management, il est nécessaire d’asseoir son existence auprès des opérationnels. L’implication de relais dédiés dans les équipes opérationnelles permet de créer un lien fort avec la direction de programme. Il convient dès lors d’en faire un vecteur privilégié de communication pour l’ensemble des acteurs. Partager avec l’ensemble des contributeurs les synthèses réalisées permet de leur fournir la visibilité sur l’importance des informations qu’ils transmettent. Ces contacts réguliers permettront d’inclure les contributeurs lors de la construction des outils de pilotage, de prendre en compte leurs remarques et ainsi de s’inscrire dans une dynamique d’amélioration continue. En effet, au travers de ces contacts réguliers, la cellule PMO récupérera des clés de compréhension parfois absentes des reportings et autres échanges de mails. Cette proximité avec l’ensemble des acteurs permet à la cellule PMO d’être perçue comme un acteur du programme à part entière.

Pour assurer la pérennité de la fonction de PMO, il faut aller au-delà des fonctions « classiques » de coordination. Des alternatives existent telles que les « métarègles » décrites par F. Jolivet*. L’implication d’acteurs dédiés aux côtés des équipes opérationnelles permet d’imposer cette cellule comme un acteur nécessaire et reconnu de tous.

* « Manager l’entreprise par projets : Les Métarègles du management par projet », François Jolivet

Cet article Quelle place pour la cellule PMO dans les programmes de transformation ? est apparu en premier sur RiskInsight.

Aujourd’hui, mesurer ses émissions de gaz à effet de serre ou sa consommation d’énergie, rendre compte de la qualité sociale de sa chaîne d’approvisionnement ou des efforts menés en matière de lutte contre l’exclusion n’est plus un problème : des standards existent et sont reconnus par tous.

Mais si l’on sait aujourd’hui mesurer la performance sociétale d’une entreprise, d’un produit, d’un site, il est une maille d’analyse qui demeure le parent pauvre de l’évaluation environnementale et sociale : la maille projet.

En matière d’évaluation de la performance sociétale d’un projet, très peu de choses ont été formalisées

Ainsi, quand l’entreprise a, par exemple, pour projet d’installer un nouveau site de production au Maghreb, de mettre en place un centre de services partagé pour ses fonctions de back-office, ou encore de restructurer sa chaîne logistique et centraliser ses opérations de distribution…, la direction de projet ne dispose d’aucun référentiel pour appréhender et piloter les questions de RSE induites par le projet.

Pourtant, ces projets peuvent interpeller et engager la responsabilité sociétale de l’entreprise : en modifiant la relation entreprise-employé, en impliquant de nouveaux sous-traitants ou modes de sous-traitance, en générant une plus (ou moins) forte intensité énergétique, ou encore, en réduisant ou en augmentant les consommations de ressources…, ces projets sont porteurs de transformations sociétales.

Comment appréhender la RSE à la maille projet ?

La question s’est posée dans le cadre d’un projet chez l’un de nos clients. L’objectif du projet ? Mettre en place un centre de services partagé (CSP) pour gérer certaines fonctions RH au niveau européen. Il s’agissait d’établir un diagnostic et de proposer un plan d’actions :

• Quels sont les apports du projet au prisme du développement durable, et comment les développer, les valoriser ?
• Quelles sont ses faiblesses et comment les dépasser ?

L’approche que nous avons proposée s’est inspirée de nos méthodologies de risk management, en les transposant sur un référentiel spécifique de la RSE. En nous appuyant sur la perception des acteurs du projet, nous avons pu ainsi bâtir un diagnostic partagé et opposable, auquel il a été aisé, dans un second temps, de répondre au travers d’un plan d’actions.

Au final, quels bénéfices pour l’entreprise ?

Si les bénéfices d’une telle approche sont évidents en matière de maîtrise de la RSE, d’autres bénéfices significatifs sont apparus en réalisant l’exercice :

Tout d’abord, en fédérant les acteurs autour de valeurs partagées et de principes mobilisateurs, en adressant des non-dits qui constituaient autant de freins au changement et en s’ancrant dans la stratégie de responsabilité de l’entreprise, le projet a gagné en adhésion et en visibilité.

Ensuite, en enrichissant le prisme d’observation, le diagnostic RSE a permis de mieux maîtriser les attendus du projet, de déceler les postures d’attente ou de défiance, et d’étendre ainsi le périmètre de maîtrise des risques.

Enfin, en élargissant le champ d’analyse, l’étude a permis de développer le potentiel stratégique du projet et de mettre en place des synergies vertueuses au sein de l’entreprise.

Ainsi, et comme souvent, entreprendre une démarche de RSE a des bénéfices collatéraux : engagement des collaborateurs, meilleure maîtrise des risques, capacité à développer des synergies… sont autant de leviers de ROI sur lesquels l’entreprise peut motiver sa stratégie de RSE et développer des pratiques managériales qui, en ciblant une meilleure performance sociétale, renforcent son efficacité économique.

Cet article Mesurer la performance sociale et environnementale d’un projet … Bonne idée ! Mais pour quoi faire ?… est apparu en premier sur RiskInsight.