L’analyse de risque et la PSSI ? Cela ne sert à rien.

Cela ne rate jamais : quand je vois débarquer dans une entreprise des consultants encravatés et en tenue de communiants, le premier truc qu’ils vous sortent (en audition et juste après dans le devis) est invariablement : faut‑faire‑une‑analyse‑de‑risque‑et‑rédiger‑une‑PSSI‑hein ? Face à une DG qui ne connaît quasiment rien au sujet cela fait mouche à chaque fois, et viennent ensuite les inévitables « ateliers avec les MOA », analyses selon les BIA, etc. Pour une PME de tout secteur d’environ 500 personnes, on a vite fait de flirter avec des devis de plusieurs dizaines de jours, qui vont mener à des livrables de plusieurs dizaines de pages que personne ne lira, et surtout que personne ne saura appliquer et encore moins maintenir.

À titre personnel, j’ai dû accepter quasi contraint une AR pour une certification 27001, pourtant sur un périmètre restreint : résultat – 10 jours de travail avec 2 consultants, tout cela pour me pondre 10 risques que l’on connaissait déjà avant (authentique). La refaire intégralement nous a pris 2 h, montre en main (toujours authentique). Quant au pipeautage généralisé de « l’approche BIA », d’expérience, avec une MOA qui ne connaît fichtre rien, il faut moins d’une heure pour expliquer l’objectif de l’échange, et moins d’une heure pour en tirer les 5 risques importants – et encore sans se presser, on a le temps de prendre plusieurs cafés et même de discuter des dernières séries Netflix à zieuter.

Parce que ce qui est important dans l’AR, ce n’est pas de la faire one shot, mais de la faire vivre. La 27001 n’impose d’ailleurs strictement aucune méthode (je dis cela à l’intention de tous les consultants qui ont essayé de me faire gober que l’EBIOS était indispensable), mais demande essentiellement d’avoir des échelles (répétitions comparables) et des critères. Dit autrement, celui qui pond une v1 en 10 jours mais n’y touche plus jamais (sauf une fois par an comme demandé par la norme, mais juste en balayant le tableau pour la forme), il est nul. Par contre, celui qui pond une v1 en 2 h, mais la met à jour systématiquement à chaque événement de sécurité (nouvelle menace, évolution des probabilités, etc.), et en révisant ses échelles et ses critères (le graal : faire valider cela par une DG), il est bon, très bon même.

Mais on atteint le sommet de la bêtise avec la PSSI, certainement le plus gros attrape‑consultant que la cyber ait pondu en 20 ans. Dans PSSI, il y a P pour « Politique » : une PSSI est donc une intention, un guide, et rien de plus. On n’est pas supposé trouver, dans une PSSI, les détails d’implémentation de tel ou tel besoin : quand le Code Pénal ou les 10 commandements stipulent que « tu ne tueras point », ils ne décrivent ni les mesures préventives, ni le détail exhaustif des mille et une façons de rétamer son prochain. Partant de cela, j’ai un scoop pour vous qui pensez ne pas avoir de PSSI (et pour ceux qui viennent de claquer quelques dizaines de kilo‑euros‑balles pour s’en faire écrire une) : en fait, vous en avez déjà une. Ce sont les 93 mesures de l’annexe A de la 27001, qui chacune tiennent en une ligne, ce qui vous donne les 93 paragraphes de votre PSSI. Pour l’instant vides, mais ce n’est pas grave : vous les préciserez au fur et à mesure de votre avancée sur le sujet cyber, des échanges avec la DSI, des échanges avec vos fournisseurs habituels ou ceux qui veulent le devenir et qui se feront un plaisir de vous expliquer ce que savent faire leurs produits bidule‑cyber‑machin‑chose‑mâtiné‑d’IA‑pipo‑comme‑d’hab.

Exemple avec la mesure 5.11 : il faut restituer les actifs au départ de l’agent. Vous avez le temps de dire qui, comment, de vous appuyer sur le RI¹ de la boîte, de distinguer les types de population, les types d’actifs importants, etc.

Jingle pub*
Toi aussi tu en as marre de te faire tondre par des consultants dont la seule valeur ajoutée est de faire du copier‑coller entre deux clients ? Appelle un ami, un confrère RSSI, qui a déjà fait cet exercice de partir de l’annexe A pour rédiger sa PSSI : il va te faire économiser tout plein de sous‑sous et tout plein d’heures‑heures.
De rien.
Fin du jingle pub*

Les consultants c’est comme les chasseurs² : il y a le bon consultant et le mauvais consultant. Le mauvais consultant, il entend un client qui appelle et il tire – je veux dire il pond du livrable documentaire en veux‑tu en voilà. Le bon consultant, eh bien il entend un client qui appelle, et il tire aussi, mais pas la même chose : plutôt des conseils, un regard extérieur et critique sur le travail et les livrables écrits par le client, la méthode suivie, etc.

D’ailleurs, allez, je termine par cela : c’est hyper facile d’auditer l’AR ou la PSSI chez un client : cela prend 5 mn, montre en main. Ou plutôt 2 mn. Fastoche : vous ouvrez la PSSI (idem pour l’AR) et vous regardez juste le cartouche de suivi des mises à jour. Si vous constatez que le document est mis à jour tous les mois voire toutes les semaines : très bien. Un suivi tous les ans ? Bof, petit joueur. Pas de suivi ? Nul, nul, revoir sa copie, retournez à la case départ, ne touchez pas 20 000, n’allez pas chouiner.

[1]   Règlement Intérieur
[2]   C’est bon vous avez la REF ?