RSSI, quels prérequis pour réussir votre démarche de cartographie des risques SSI ?

Les raisons d’entreprendre une démarche de cartographie des risques SSI sont nombreuses :

  1. Documenter les risques associés aux différents processus métiers,
  2. Identifier rapidement les impacts métiers en cas de survenue d’un incident ou d’un changement de technologie,
  3. Prioriser les actions de sécurisations sur les processus métiers et les actifs les plus critiques,
  4. Faire prendre conscience aux métiers des risques SSI qui pèsent sur leurs processus métiers, etc.

Bien que certaines méthodologies sont reconnues sur le marché de la cybersécurité (Mehari, Ebios), leur mise en œuvre peut s’avérer parfois complexe, d’autant plus en l’absence de certains prérequis !

Si à première vue la réalisation d’une réunion de lancement peut être assimilée à une simple formalité, il n’en est rien ! Elle est essentielle pour présenter la démarche, expliquer les résultats attendus et comment la cartographie va être exploitée !

Au-delà du rôle explicatif de la réunion de lancement, elle favorisera l’implication de l’ensemble des acteurs dans la démarche de cartographie! 

 

 

Dans une optique d’optimisation du temps de vos ateliers et pour faciliter vos échanges avec vos interlocuteurs, rien ne vaut une bonne préparation !

Des Bilans d’Impact sur l’Activité, un recensement des applicatifs utilisés, des analyses de risques projet ont été réalisés auprès des différentes directions métiers ?  Consultez les en amont de vos ateliers et mentionnez-les auprès de vos interlocuteurs !

Par ailleurs, expliquez aux interlocuteurs rencontrés en quoi la démarche de cartographie des risques SSI se différencie des démarches précédemment réalisées et quels sont ses apports !

Enfin, pour maximiser vos chances d’obtenir une cartographie complète et la plus juste possible :

  • Alimentez le renseignement de vos actifs à partir de votre CMDB, si votre entreprise dispose d’une telle base de données et si elle est à jour !

Votre CMDB (Configuration Management DataBase) ne date pas de la dernière pluie ?

Abstenez-vous d’alimenter votre cartographie avec une reprise historique erronée ! Vous risquez d’introduire de la confusion auprès des directions métiers dans l’identification de leurs actifs métiers (nom d’usage différent, erreur de rattachement de l’actif à la bonne direction métier, etc). En revanche, nous vous recommandons de comparer votre CMDB avec les actifs déclarés par les métiers : il est possible d’identifier des actifs inutilisés par les métiers et qui ne sont pas décommissionnés !  

 

  • Identifiez le bon niveau d’interlocuteurs pour la conduite de vos ateliers, pour assurer une vision qui ne soit ni macro, ni micro !

Conservez le même niveau d’interlocuteurs pour l’ensemble de la démarche pour homogénéiser le niveau de granularité.

Votre interlocuteur a un emploi du temps aussi chargé qu’un ministre et vous propose de conduire l’atelier avec l’un de ses subordonnés ? Pas de panique ! Réalisez l’atelier conformément à sa demande et faites lui valider le résultat obtenu !