Un cadre documentaire comprend une taxonomie (comment on nomme et on référence les documents) et sa structure basée sur la typologie des documents, leur portée et la nature des obligations éventuellement contenues.
La taxonomie dénombre une charte d’entreprise, une politique générale (ou politique de sécurité d’entreprise), des directives (Québec) ou des politiques, des normes, des procédures et des guides. On distingue les politiques traitant d’un problème ou d’une situation (en anglais issue-specific) et les politiques relatives à une technologie (en anglais system-specific).
La typologie est relative au type de contenu attendu dans chaque niveau et à sa portée. On distingue la mission et les valeurs de l’entreprise (ou d’un département ou encore un domaine), des principes et des objectifs stratégiques (ils peuvent être plus opérationnels si ce niveau dépend d’une direction opérationnelle), des exigences fonctionnelles, des règles techniques (de configuration, d’architecture, de développement logiciel) afin d’uniformiser les systèmes et les pratiques, des procédures pour permettre de réaliser les tâches comme attendu et des recommandations qui éclairent sur le contexte ou précisent de manière plus granulaire comment implémenter les règles au-dessus.
La portée peut être stratégique en décrivant les orientations, les justifications et un plan d’action à haut niveau ; elle peut être tactique, en clarifiant ce que l’organisation souhaite faire pour réaliser ses objectifs tout en respectant certains principes tels qu’énoncés dans la politique d’entreprise ; elle peut être opérationnelle, en décrivant comment on parvient à respecter les règles des niveaux précédents, étape par étape.
La structure dépend de la taille de l’organisation, des niveaux d’approbation et de l’audience-cible de chaque type de document. Mais dans tous les cas, elle doit être hiérarchique, c’est-à-dire qu’au sommet se trouvent les documents approuvés au plus haut de la hiérarchie de l’organisation (par exemple le Conseil d’administration) et en bas ceux qui sont validés localement au sein d’une équipe. En haut se trouveraient les documents obligatoires et en bas les documents non obligatoires. Par hiérarchie, on entend aussi, et c’est crucial, qu’à chaque niveau, on traite un type d’information particulier à destination d’une audience spécifique, en prenant soin de ne jamais répéter la même chose, de la même manière à plusieurs niveaux documentaires qui sont complémentaires.
La gestion d’un cadre dcoumentaire est généralement réalisée par l’équipe GRC (Gouvernance, Risques et Conformité) et c’est une tâche souvent sous-estimée, mal réalisée, par un personnel insufisamment formé. On pense à tort que c’est réservé au personnel non technique et débutant, mais c’est l’inverse. Il faut de préférence avoir fait un bon parcours, à des rôles variés, avant de se spécialiser en GRC. L’activité possède ses particularités, nécessite d’avoir un certain nombre de compétences comportementales spécifiques comme celle de la négociation (l’art de trouver le compromis), la communication aussi bien orale qu’écrite, de la rigueur et une bonne capacité d’analyse. nfin, l’équipe GRC doit avoir de bonnes connaissances des cadres et des normes de l’industrie, tout en étant familier des pratiques de cybersécurité.
L’équipe GRC fait le pont avec la haute direction, interprète les valeurs de l’entreprise, gère les risques et la conformité réglementaire appliquée aux TI et à la cybersécurité, autant d’informations qui servent d’intrants dans le processus de gestion documentaire. Elle fait la jonction entre la vision stratégique, les pratiques opérationnelles et la vision technologique. ELes spécialistes en GRC ne sont ni développeurs, ni architectes, ni pentesteurs, ni analystes d’incidents, mais bébéficient d’avoir eu des expériences précédentes plus opérationnelles et plus techniques.
Cyriskintel est une société de conseil et de formation via Cyriskacademie, spécialisée dans la GRC TI et cybersécurité.