La 27001 et les compteurs kilométriques de nos bagnoles

La question est plutôt : pourquoi Care D2 doit-il demander une PSSI, alors que cette dernière devrait faire partie du pack de base de toute DSI qui se respecte ?

Après avoir mâchouillé le bout de mon stylo, la question, reformulée, est devenue : Pas mal de DSI ont des PSSI, mais pourquoi ces documents restent dans un tiroir et servent autant que les insectes que l’on englue dans ces presse-papier en résine ? Et ne sont mis à jour qu’au Care suivant ?

Après avoir re-re-mâchouillé mon stylo, je me suis demandé si des signaux faibles ne pouvaient pas, assez rapidement, donner à un auditeur, un RSSI nouvellement arrivé, un DSI ou une direction générale, une petite idée assez fidèle de l’état de la cyber dans une entreprise, sans forcément ressortir la Grosse Berta de l’audit externe de deux semaines.

Imaginez la scène : vous voulez acheter une voiture d’occasion pour le petit dernier qui vient juste d’avoir son permis, et vous voilà devant un modèle de compacte pas trop cabossée ; le vendeur vous raconte que malgré ses huit ans elle n’a que 50 000 kilomètres au compteur (en général, on ressort l’histoire du premier acheteur, un papy qui ne l’utilisait jamais et la laissait au garage, on me l’a faite 50 fois celle-là). Le truc qui tue, c’est de demander les factures d’entretien.

Oui, parce que trafiquer le compteur kilométrique (avec un boîtier électronique de nos jours, dans ma jeunesse on faisait pareil avec une perceuse sur le mécanisme de déroulement), rien de plus facile, mais les incohérences sur les factures d’entretien trahissent la manœuvre (sauf à les trafiquer également, mais là, ça demande un peu plus de boulot). Dit autrement, version qualiticien, pipeauter sur les documents se voit fastoche sur les enregistrements.

On commence au niveau « Begginer ».

Premier indicateur simple : non pas la PSSI, mais l’historique de ses modifications. Certes, on peut essayer de vous truander en remplissant un cartouche d’historique au dernier moment… sauf que vous allez demander à voir les différentes versions de la PSSI sur les trois dernières années. Comme dans l’histoire des factures d’entretien de la voiture, fabriquer des faux devient plus compliqué.

Deuxième indicateur simple : le volume documentaire. Et leur articulation. Parce que si l’on vous sort des montagnes de documents, des procédures techniques en veux-tu en voilà, des politiques dans tous les sens, sachez que c’est du pipeau : dans mon dernier opus publié à l’Apssis[2], j’affirme (je persiste et je signe) que l’on peut faire tourner un SMSI certifié avec environ 15 documents (hors enregistrement bien entendu). Si l’on vous en montre 30, 50, 100, c’est juste de la poudre aux yeux, une tentative d’enfumage d’ailleurs facile à confirmer puisque, dans ce cas, la plupart ne sont jamais révisés.

Troisième indicateur hyper-fastoche (presque trop) : le calendrier des contrôles. OK, là je suis vache, mais une DSI incapable de vous dire quand elle vérifie le nombre (et la liste) des PC non protégés par un AV/EDR et à quelle fréquence, y a de la marge de progression.

On passe au niveau « Confirmé » ? Soyons joueurs.

Vous remarquerez que je ne vous parle pas de l’appréciation des risques (en principe elle existe, et il y a des chances qu’elle soit plus souvent mise à jour que la PSSI). Non, si vous voulez vraiment la question poil à gratter, la voici : la preuve que les risques résiduels après projet ou action de réduction ont été validés par les propriétaires de processus et remontés en revue de direction (qui doit être tracée). Oulalalala, vilain Cédric !

Allez, une petite dernière pour la route, que vous pourrez d’ailleurs vérifier chez vous. Récemment, je causais avec un qualiticien qui me vantait les mérites de sa GED en platine massif, et j’ai incidemment demandé si la classification des documents (le classique PUBLIC/INTERNE/RESTREINT/CONFIDENTIEL) était accompagnée des règles de manipulation pour chaque niveau. Dit autrement, si en me baladant dans les couloirs je tombe sur un document estampillé « RESTREINT », la GED précise-t-elle clairement ce que je peux faire (ou pas) avec ce document : Le photocopier ? L’envoyer par mail ? Avec ou sans chiffrement ? Avec quelle longueur de clés ? Le détruire ? Le publier sur l’intranet ? Bref oùc’estécritsvponsieur ? Très, très vilain le Cédric !

Bon, sinon, manger à la cantoche dos au mur, c’est juste une histoire d’habitude.