Mesurer la sécurité à la manière d'Improvement Kata

Nous avons utilisé des katas d'amélioration pour améliorer nos processus. Nous avons écrit un blog approfondi à ce sujet, mais l'essentiel est que vous améliorez un processus en apportant de petits changements ciblés et en mesurant si vous vous êtes rapproché de votre objectif. La mesure est essentielle dans ce processus ; si vous ne mesurez pas, vous ne savez pas s'il y a quelque chose à améliorer ou si vos changements ont été efficaces. Heureusement, il est relativement simple de trouver ce qu'il faut mesurer... généralement.

Pourquoi la sécurité ?

Concentrons-nous sur la sécurité. La sécurité est importante. Nous le savons tous. Nous ne voulons pas que votre nom et votre adresse soient diffusés sur l'internet, et nous ne voulons pas que vous perdiez vos résultats d'examen. Plus de sécurité, c'est mieux. Mais plus de sécurité n'est pas nécessairement plus sûr. Si nous mettions une alarme sur tout ce qui peut mal tourner et si nous surveillions chaque mouvement de nos systèmes, nous nous noierions dans des notifications distrayantes. Nous n'aurions plus le temps de travailler sur autre chose. Nous devons donc choisir ce qu'il faut faire. Nous devons mesurer la sécurité si nous voulons améliorer nos processus de sécurité. Mais comment mesurer la sécurité ?

Moyens de mesurer la sécurité

La sécurité n'est pas très facile à mesurer, surtout dans un délai court. Pour certains processus, vous pouvez mesurer le temps qu'il faut à un utilisateur pour effectuer une certaine tâche sur une page web, ou vous pouvez compter le nombre de questions sur un sujet spécifique. Vous pouvez ensuite apporter des modifications et mesurer à nouveau les chiffres pour voir comment ils ont évolué. Mais pour les processus de sécurité, il n'y a tout simplement pas assez de flux dans le processus. Par exemple, nous ne pouvons pas obtenir de mesures significatives à partir du nombre de violations de données. Nous ne pouvons pas nous améliorer à partir de 0, et le fait de ne pas avoir de violations de données ne signifie pas qu'il n'y a pas de possibilité de violations de données, ce qui est l'une des choses qui nous intéressent. Nous devons donc réfléchir à d'autres moyens.

Comptabiliser les problèmes de sécurité

Soyons réalistes, il n'y a pas de système numérique qui ne pose pas de problèmes de sécurité. Surtout dans un système en constante évolution. Lorsque ces problèmes sont découverts, ils doivent être signalés. Il s'agit de tous les rapports de problèmes de sécurité dans un système, qu'il s'agisse de données disponibles là où elles ne devraient pas l'être ou d'une personne qui a perdu la clé de son bureau. L'une des façons d'évaluer le système est de compter les problèmes de sécurité.

Cette mesure peut être très utile, mais aussi très trompeuse. Le fait d'avoir moins de problèmes ne signifie pas nécessairement qu'il y a moins de problèmes, mais seulement que l'on peut en trouver moins. C'est comme la chasse au trésor : si vous ne creusez pas dans le sable, vous ne trouverez rien d'intéressant, mais vous ne pouvez pas dire qu'il n'y a pas de trésor. D'une certaine manière, l'augmentation du nombre de rapports de sécurité signifie que nous obtenons une meilleure vue d'ensemble de notre état de sécurité. Cela peut être un objectif important, mais ce n'est pas la façon de mesurer la sécurité.

Respect des lois et règlements

Au lieu d'être mesurée, la sécurité est souvent évaluée sur la base de normes spécifiques. Dans l'UE, il s'agit généralement du GDPR, la loi la plus stricte au monde en matière de sécurité. Il décrit les règles à suivre pour traiter les différents types de données. Elle fournit un niveau de base de sécurité et de responsabilité, notamment en ce qui concerne l'utilisation abusive des données.

Bien sûr, c'est important. Si vous avez des problèmes liés au GDPR, ils doivent être résolus. Non seulement pour des raisons juridiques, mais aussi parce que nous nous soucions de la sécurité de nos clients. Nous sommes conformes au GDPR et nous le resterons. Cependant, il s'agit d'une base de référence après laquelle il reste beaucoup de flexibilité et d'opportunités pour les problèmes de sécurité.

Évaluation des risques

Il y a quelque temps, nous avons commencé à nous intéresser à la norme ISO 27001. Cette norme décrit une manière de travailler avec un système de gestion de la sécurité de l'information (SGSI) pour superviser et traiter la sécurité de l'information. Nous avons donc commencé à travailler sur ce système de gestion de la sécurité de l'information parce qu'il nous offrirait un meilleur cadre pour évaluer notre situation en matière de sécurité.

Dans le cadre de l'ISMS, nous avons commencé à évaluer les risques de sécurité. Lors d'une réunion d'évaluation des risques, nous discutons d'une longue liste de risques possibles pour la sécurité avec un groupe d'employés issus de différents services : un ingénieur logiciel, le directeur technique et le responsable de la protection de la vie privée. Pour chaque risque, nous attribuons une note à la probabilité qu'il se produise et à son impact s'il se produit. Nous obtenons ainsi une liste de différents problèmes possibles qu'il convient de prévenir ou d'atténuer, classés en fonction de leur exposition, une combinaison de la probabilité et de l'impact.

Cela ressemble beaucoup au comptage des problèmes de sécurité, mais il y a des différences intéressantes :

1. Ils sont assortis d'une note d'exposition, qui nous aide à choisir ce à quoi il faut s'attaquer pour obtenir l'effet le plus important;

2. L'évaluation des risques suivante comporte la même liste de risques, ce qui signifie que nous pouvons comparer l'évolution de l'exposition aux risques plutôt que le nombre de risques.

Cela facilite grandement les mesures des évaluations des risques. Nous disposons désormais d'une méthode structurée pour examiner la sécurité d'Easy LMS. Nous remplissons l'évaluation des risques avec les connaissances que nous tirons des rapports sur les problèmes de sécurité et de nos observations quotidiennes, puis nous améliorons les choses une étape à la fois.

Certification

La mesure de l'évaluation des risques pose un problème : elle peut ne pas être totalement objective. Nous ne pouvons que rapporter ce que nous voyons et les évaluer sur la base de nos propres expériences et réflexions sur le sujet. Cela crée une bulle avec ce que nous savons et ce sur quoi nous travaillons, mais cela ne nous montre pas ce qu'il y a à l'extérieur de cette bulle.

Nous avons donc décidé de continuer à appliquer la norme ISO 27001 dans son ensemble, qui décrit également un processus de certification. Une partie externe nous évaluera sur notre mise en œuvre des mesures de sécurité et du SMSI ; il s'agit en fait de vérifier si d'autres personnes sont d'accord pour dire que nous sommes là où nous pensons être.

Nous travaillons donc d'arrache-pied pour nous préparer à ce processus de certification, et nous espérons nous dire certifiés ISO 27001 quelque part en 2023 !

Comment nous mettons en œuvre des mesures de sécurité qui tiennent la route

Nous disposons désormais d'un processus pour améliorer notre sécurité. Nous avons sélectionné les éléments à améliorer et commencé à les mettre en œuvre dans notre entreprise. Cependant, nous ne sommes pas encore au bout de nos peines. Nous devons également nous assurer que la mise en œuvre sera couronnée de succès.

Le fait est que tout le monde sait que la sécurité est importante, mais les gens n'aiment pas vraiment y travailler. Cela peut rapidement devenir comme les impôts : il faut le faire, mais c'est une corvée ennuyeuse. Comment faire en sorte que cela ne devienne pas un problème ?

Supprimer les obstacles

La principale raison pour laquelle les mesures de sécurité ne fonctionnent pas est que les gens les contournent. Ce problème est lié à la mesure, et non aux personnes. Cela signifie que la création de solutions de contournement est tout simplement plus pratique que le respect des règles et des processus. Le processus comporte trop d'obstacles à surmonter et il est dans notre nature de prendre le chemin de la moindre résistance. Cela peut avoir des effets désastreux.

Un exemple extrême serait la catastrophe de Bhopal en 1984, où plusieurs mesures de sécurité ont été négligées. Une ville a été inondée de gaz toxiques, tuant des milliers de personnes et en blessant plus d'un demi-million. Bien sûr, les incidents de sécurité chez Easy LMS n'auraient pas ces effets extrêmes, mais cela montre à quel point les mesures de sécurité peuvent être facilement contournées, malgré les conséquences possibles.

Il est préférable de rendre le respect des procédures de sécurité aussi simple que possible. Plus précisément, essayez de faire en sorte qu'il soit plus facile de contourner les mesures. Il peut y avoir quelques étapes supplémentaires à franchir à des fins de sécurité, mais pas trop. Il ne doit pas y avoir de temps d'attente supplémentaire. Les procédures de sécurité ne doivent pas empêcher vos employés de faire leur travail ; elles doivent les guider pour qu'ils puissent le faire de manière plus sûre.

Les procédures de sécurité ne doivent pas empêcher vos employés de faire leur travail ; elles doivent les guider pour qu'ils puissent le faire de manière plus sûre.

Prenons l'exemple du signalement d'un problème de sécurité. Supposons que cela doive se faire par le biais d'un système d'archivage personnalisé dans lequel il faut rechercher et remplir de nombreux détails, dont la plupart ne seront de toute façon pas utilisés, ce qui coûte à l'employé 15 minutes de son temps. Ce système peut être utilisé au début, mais il n'est pas durable. Il est plus facile de le faire plus tard et de l'oublier. Prenons maintenant un autre système dans lequel un employé peut envoyer un simple message sur Slack avec une brève description du problème, et celui-ci sera traité. L'employé doit encore effectuer quelques démarches, mais c'est très facile et peu contraignant. Ce qui est peut-être encore plus important, c'est que l'employé n'est plus responsable de la résolution du problème. Il envoie le message et peut continuer sa journée, ce qui est beaucoup plus facile que de faire face aux conséquences inévitables d'un incident de sécurité. Ainsi, au lieu de forcer les gens à travailler de manière inefficace et de les blâmer ensuite pour leurs erreurs, vous examinez ce qui est inefficace et vous l'améliorez pour que cela devienne plus facile.

Bien sûr, il y a des mesures à prendre pour renforcer la sécurité, mais les obstacles qui se dressent sur la route de vos employés rendent leur travail inutilement plus difficile. Beaucoup de ces obstacles peuvent être éliminés par l'automatisation ou la simple délégation de tâches.

Sécurité des personnes

Nous avons déjà parlé de la sécurité des personnes dans le contexte de l'erreur. Nous pouvons également l'appliquer à la sécurité. Les gens doivent pouvoir parler de sécurité, mentionner des problèmes de sécurité et corriger le comportement des autres sans conséquences négatives. Si les employés ont l'impression qu'ils ne peuvent pas parler de sécurité ou qu'ils ne savent pas où le faire, les mesures de sécurité constitueront un obstacle pour eux. Les employés ont tous leur propre expertise et expérience dans leur domaine, ils savent donc à quoi s'en tenir.

Les gens doivent pouvoir parler de sécurité, mentionner les problèmes de sécurité et corriger le comportement des autres sans conséquences négatives.

Ils peuvent vous aider en suggérant des mesures pour des problèmes de sécurité spécifiques, ils peuvent donner leur avis sur les mesures déjà mises en œuvre et ils peuvent vous avertir des obstacles qui se dressent sur leur chemin. Ainsi, lorsque nous avons appris que quelqu'un avait perdu ses clés ou que les formalités administratives liées à l'organisation d'un entretien avec un client étaient trop lourdes, nous n'étions pas en colère ou dédaigneux. Nous étions heureux qu'ils nous communiquent ces informations. Si vous ne considérez pas ce retour d'information comme précieux ou si vous n'en faites rien, vous perdrez l'intérêt de vos employés à travailler en toute sécurité.

Continuer à s'améliorer  ;

Nous avons déjà parlé de l'amélioration de la sécurité de l'information, mais il est tout aussi important de continuer à améliorer les processus de sécurité pour nos employés. Si vous n'écoutez pas activement vos employés et ne changez pas ce qui ne fonctionne pas, la mesure de sécurité finira par cesser de fonctionner. Les employés, comme l'entreprise elle-même, continueront à changer. Easy LMS continuera d'évoluer, tout comme nos procédures de sécurité, non seulement pour les améliorer mais aussi pour les rendre plus faciles.