Le tournant des mois de juin et juillet 2019 a été une période intense pour nous. En raison du développement de plus en plus dynamique des entreprises du groupe TT Capital, il devenait progressivement évident qu’à long terme, il était impossible de maintenir un SMI central (qui, outre les normes ISO9001, ISO20000 et OHSAS, comprenait également la norme ISO27001). Il était temps d’agir.

Nous avons décidé que la responsabilité d’assurer la sécurité de l’information (et des autres systèmes) incomberait à chacune des entreprises qui l’utilisent. C’était une idée assez subversive pour la période chaude et paresseuse des vacances d’été (en effet, à cette époque, la possibilité de voyager dépassait largement les limites du salon, de la terrasse et du jardin, ce dont beaucoup d’entre nous étaient heureux de profiter). Une tâche aussi noble qu’ambitieuse. Nous avions à notre disposition le système central opérationnel de la TTCG et une grande expérience acquise au cours des nombreuses années de travail avec ce système. Il ne nous restait plus qu’à utiliser ces connaissances, cette documentation et les outils existants… ou, peut-être, serait-il préférable de partir de zéro ? Pour une raison quelconque, cette question ne cessait de nous préoccuper.

Evolution ou révolution ?

Un éternel dilemme. Dans l’un de mes précédents articles, « Comment réaliser efficacement une transformation numérique dans votre entreprise ? », je soutenais que si nous n’avions pas de bons arguments pour une révolution, nous devions nous en tenir à l’évolution. Ensuite, si nous prenons une mauvaise décision, revenir en arrière d’un pas ou deux est beaucoup plus facile. Enfin, précisément, si nous n’avons pas de bons arguments. Globalement, la tâche qui nous attendait exigeait trois choses :

 

  1. Définir l’étendue du SGI dont nous avions besoin dans l’organisation – ici, le choix était simple, car en tant que fournisseur de services de programmation, nous nous concentrons principalement sur la sécurité de l’information.
  2. Analyser l’ensemble du SGI et identifier les documents, les processus, les pratiques et les moyens de garantir la sécurité de l’information.
  3. Adopter ce qui précède dans le cadre de nos besoins commerciaux, de notre structure organisationnelle et de nos bonnes pratiques.

La première étape a été une question de minutes. Un jeu d’enfant. C’est à la deuxième étape que les problèmes ont commencé. Le système de gestion intégré s’est en effet avéré être très intégré. Il n’y avait pas de moyen simple et rapide d’extraire uniquement la partie sécurité de l’information. La seule option était de cataloguer tous les documents, de les analyser méticuleusement, puis de les réécrire et de les adapter à nos besoins. Pas de raccourcis. Mais cela nous a fait voir la lumière au bout du tunnel. Si nous ne pouvions pas accélérer notre travail en intégrant simplement des éléments du système, pourquoi ne pas utiliser des outils qui nous permettraient de mettre en œuvre et de superviser le système de manière plus pratique, plus rapide et plus efficace ? Nous avions trouvé l’argument en faveur de la révolution. Le troisième point de notre liste commençait à prendre forme.

Là où Excel échoue, Jira excelle

Je n’ai pas l’intention de critiquer Excel. C’est un outil formidable, mais il ne vous donne pas nécessairement le niveau de performance et la facilité de maintenance que nous exigeons de notre SGSI ici à TTPSC. Nous travaillons avec les systèmes Jira et Confluence et utilisons toute une série d’extensions depuis des années. Après avoir analysé la documentation du SGSI (oui, nous l’avons fait document par document, phrase par phrase), la structure et le contenu des politiques de sécurité de l’information qui seront appliquées au TTPSC, nous avons dû réfléchir aux outils. Et donc :

  • Nous avons remplacé le dépôt de documents (Word, Excel, PDF et autres) dans Sharepoint par du contenu posté sur les sites Web de Confluence – et cela a résolu les problèmes de versionnement, d’accès des employés et de contrôle des modifications. Nous nous appuyons uniquement sur les mécanismes intégrés disponibles en standard. Pas de cryptage. C’est rapide, efficace, et il n’y a pas besoin d’outils supplémentaires.
  • Signalement des incidents, des activités et des autres événements pertinents du point de vue de l’ISMS – heureusement, cet élément combine toutes les normes qui faisaient partie de l’IMS. Tout au long des années de fonctionnement du SGI, TT CG a développé un excellent mécanisme de rapport et de gestion des événements, basé sur Jira. Chaque rapport a son propre type (Incident, Potentiel d’amélioration, Non-conformité, Action) et un certain nombre d’attributs pour aider à classer l’événement, ce qui permet ensuite une analyse et un suivi précis. Les rapports ont leur cycle de vie, ils peuvent être délégués à des personnes spécifiques, fournir des enregistrements de l’activité, permettre le regroupement et la fusion, ainsi que de nombreuses autres choses, qui peuvent toutes être réalisées avec les fonctions de base de Jira. C’est un élément clé du système.

creating ISO issues in Jira, Transition Technologies PSC

  • Contrôle de l’efficacité et mesure de la réalisation des objectifs – une forme structurée de rapport des incidents ou des activités est fondamentale. Une analyse ou un rapport manuel des résultats des mesures dans Excel serait une hérésie. Cela doit être automatisé, lisible et accessible en ligne avec les autorisations appropriées. Cela semble compliqué. Rien n’est moins sûr – les mécanismes intégrés de Jira et de Confluence et un très haut degré d’intégration des deux systèmes peuvent aussi aider ici. C’est pourquoi nous avons accès à tout moment aux indicateurs les plus importants et au degré de réalisation des objectifs, sans même une seule opération, requête de base de données ou macro dans excel. Nous utilisons uniquement des filtres, des rapports, des macros et des widgets.

ISO statisticks in Jira, Transition Technologies PSC

  • La matrice des risques. J’ai gardé le meilleur pour la fin. Sur le web, nous pouvons trouver des centaines de modèles excel avec des exemples de matrice de risques. Tous ont une chose en commun : ils ne peuvent pas être intégrés à d’autres parties du SGSI. Pourquoi ? Avec 30 risques ou plus, Excel devient complètement ingérable. Nous n’aimons pas son aspect. Il est difficile de lire le contenu des cellules. Il est encore plus difficile de voir les liens entre elles. Et le suivi des activités liées aux risques devient une gymnastique mentale. Impossible ? Et pourtant. Le formidable module complémentaire de Jira, Big Picture, est venu à notre secours. On pourrait écrire des articles entiers sur l’extension elle-même, mais pour nos besoins, c’est le module de gestion des risques qui s’est révélé inestimable. Il vous permet de créer (et de visualiser !) une matrice, de transférer facilement les risques entre les sections de la matrice et, comme chaque risque est une tâche dans Jira, nous pouvons utiliser les métadonnées, les liens, les cycles de vie et l’historique des modifications. Cerise sur le gâteau, les risques peuvent facilement être liés à leur source (analyse de conception, mise en œuvre du système, incident), être filtrés et constituer une base pour des rapports avancés. Rapide, simple et efficace.

ISMS Risk Register in Jira, Jira and BigPicture, Transition Technologies PSC

Il faut dire que si l’analyse de la documentation nous a pris des semaines, la création de ces outils de gestion du SMSI s’est avérée être une question de… quelques jours. Pour une seule personne. La combinaison de bonnes pratiques, d’outils encore meilleurs et de l’intuition que les vieux modèles établis peuvent être remplacés par quelque chose de nouveau, de meilleur et de plus efficace, a donné des résultats exceptionnels.

Et ce n’est que le début…

Si c’est le cas, quelle sera la suite ? Intégration De plus en plus d’intégration. Jira et Confluence sont accompagnés de systèmes dédiés qui analysent les rapports des partenaires et des fournisseurs. Les résultats sont automatiquement signalés sous forme d’actions, d’incidents ou d’autres événements, et ceux-ci nous fournissent par conséquent des indicateurs et des rapports. L’unification des outils de communication et de coopération vous permet de mieux contrôler les données traitées. L’analyse des exigences de la norme ISO en matière de suivi de l’efficacité du SMSI nous pousse à mettre en place des solutions basées sur la numérisation des processus dans Jira. Tant que nous sommes guidés par la sécurité, la normalisation, l’automatisation et l’intégration des données dans ces activités, bien que le système couvre chaque mois de nouveaux domaines supplémentaires, son fonctionnement et sa gestion ne nécessitent aucun effort supplémentaire. Après tout, il ne s’agit pas de créer un système dont le fonctionnement sera un mystère en soi et ne fera qu’entraver le travail des départements de production. L’idée est que les solutions que nous avons développées doivent créer les conditions dans lesquelles le risque de perte d’intégrité, de confidentialité et de disponibilité des données traitées par les employés devient de plus en plus faible. Et ce, au coût le plus bas possible.

_Tous les messages dans cette catégorie

Entrons en contact

Nous contacter