Comment la sécurité impacte-t-elle les méthodologies de gestion de projetPar Charles Moudourou, Chef de projet infrastructures cybersécurité et homologation chez Clinkast, diplômé de Skema Business School
- septembre 13, 2020
- Envoyé par : Community Manager
- Catégorie: Non classés
La prise en compte de la sécurité dans la conduite de projet passe par l’élaboration d’une politique de sécurité des systèmes d’information pour toute entreprise quelle que soit la taille de celle-ci. Ce qui constitue un guide de bonne conduite en matière de sécurité et évolutif en fonction des situations telles que la crise sanitaire actuelle.
Repenser le SI
La multiplicité des attaques auxquelles font face les entreprises de nos jours et en particulier leurs systèmes d’informations les obligent à repenser leur mode de fonctionnement ; Cela appelle donc l’ensemble du personnel, y compris tous les participants du projet à être plus vigilant. Renforcer la sécurité des SI de l’entreprise devient grâce à la vigilance de tous d’une importance capitale, ce qui permettra de garantir les facteurs suivants : confidentialité, intégrité, disponibilité et preuve.
Il existe aujourd’hui plusieurs risques et menaces qui peuvent mettre en danger la méthodologie d’un projet. Force est de constater que la sécurité des SI est une priorité de la part des pilotes de projet, du fait de leur prise en compte dans les cahiers de charges, et des moyens mis en place.
Cette sécurité des SI étant un élément primordial et un gage de sécurité pour aujourd’hui dans la réalisation des projets les entreprises, elle nécessite l’implication de toutes les parties prenantes (clients internes et externes du projet) ; afin de mieux gérer et évaluer son impact au sein d’un projet. Cela passe par la mobilisation des moyens humains, organisationnels et techniques visant à empêcher le mauvais usage, l’utilisation non autorisée, la modification du SI de l’entreprise.
Analyse des risques
Si nous partons du principe qu’il vaut mieux prévenir que guérir, la mise en place d’actions correctives coutera plus cher que la prévention en amont. L’analyse des risques dans la gestion des projets devient une partie intégrante d’un projet et est capitale pour sa réussite. Cette notion de risque devient importante d’où l’utilité de mettre en place l’identification des besoins de sécurité en amont et en aval de chaque projet ce qui permettra d’adapter la méthodologie aux différentes mesures sécuritaires qui seront mises en place.
MCS (Maintien en Condition de Sécurité)
Chaque composant du SI, quelque soit sa complexité doit pouvoir résister aux attaques, d’où la prise en compte par les entreprises du maintien en condition de sécurité, qui vise à maitriser dans le temps un niveau de sécurité voulu (constant). La conduite de projet quelle que soit la méthodologie utilisée telle que l’agilité, le cycle en v ou Prince 2, devrait fortement intégrer la probabilité d’occurrence de risque pour chaque évènement associé, afin d’éviter les retards dans la bonne exécution des actions.
Ceci conduit les entreprises quel que soit le projet mené, à suivre un schéma synoptique établi passant par le cadrage du projet : humain, financier, matériel, analyse des risques (forces, faiblesses, opportunités, menaces).
Les vulnérabilités d’un SI peuvent être identifiées par une analyse des risques.
Il est important de l’intégrer à la méthodologie d’un projet, qui se fera en plusieurs étapes.
Le risque étant un concept économique (probabilité de perte financière), l’entreprise sera donc exposée à des dommages tels que les conséquences juridiques (clients internes et externes), perte de données, mauvais fonctionnement du SI.
Préconisations
Afin d’éviter tous ces désagréments, la liste n’étant pas exhaustive, il est important d’établir un certain nombre d’étapes, qui nous permettront d’assurer la sécurité du SI :
-
Identification des risques et menaces liés au projet.
-
Mesures et vulnérabilités principales
-
Cartographie des risques
-
Niveau de risque et impacts associés
-
Priorisation du traitement des risques et menaces identifiés
-
Classification des risques et menaces
-
Traitement des risques et menaces
-
Intégration des mécanismes de sécurité
-
Différents tests (vulnérabilité, authentification…)
-
Conduite du changement
-
Évaluation des actions correctives et préventives
-
Veille sécuritaire sur les technologies utilisées dans les projets et celles recommandées par l’ANSSI
-
Audit par un prestataire d’audit de la sécurité des SI (PASSI) sur les différents éléments du projet : infrastructure, configuration
-
Suivi des actions