Comment intégrer la sécurité dans les projets ?
Les projets sont nombreux chez nos clients. Chacun de ces projets est clé pour le Métier qui le porte. Ils doivent être menés rapidement, et donc souvent au détriment de la sécurité qui est perçue comme un frein et qui est parfois occultée faute de temps, de moyen ou de connaissance.
Il est pourtant nécessaire de prendre en compte les aspects sécurité dans la méthodologie projet globale de l’entreprise.
Intégrer la sécurité dans les projets, c’est considérer les besoins et les impératifs sécurité dès la genèse des projets pour gagner du temps et anticiper les audits en concevant des réponses aux besoins du business qui prennent en compte les problématiques sécurité, et s’éviter de passer derrière l’équipe projet, sur une solution déjà développée, pour essayer de la sécuriser.
L’intégration de la sécurité dans les projets sera d’autant plus efficace qu’elle est pensée d’une manière globale et optimisée.
Security by design
Nous avons une forte expérience de conseil en sécurité dans les projets. Ainsi nous sommes intervenus dans l’équipe Sécurité d’une société de crédit avec un objectif simple : réduire les risques sécurité à un niveau acceptable pour l’ensemble du portefeuille de projets.
Dans ce cadre, nous avons commencé par évaluer les dysfonctionnements de la démarche déjà en place et proposer des solutions d’optimisation. Nous avons en parallèle de l’accompagnement quotidien des projets du portefeuille, outillé un catalogue de service en produisant, outre les dossiers sécurité eux-mêmes, des guides d’évaluation des risques, une FAQ de mesures de sécurité capitalisant sur l’ensemble des dossiers traités, ainsi qu’un filtre permettant d’évaluer le degré d’accompagnement nécessité par chaque projet.
Nous avons ainsi mis en place une logique de centre de service : chaque nouveau projet se voyait attribuer un niveau de suivi définissant en fonction de sa criticité sécurité le niveau d’investigation auquel l’équipe allait se livrer (de la mise à disposition de la FAQ et d’un simple entretien d’une demi-heure à un suivi personnalisé allant bien au-delà de la rédaction du dossier de sécurité).
A l’issue de la démarche, les chefs de projets étaient plus autonomes et plus intégrés à la démarche dont ils comprenaient l’utilité, voyant l’intégration de la sécurité dès l’amont comme une aide et non plus comme une contrainte. Le volume de projets suivis était également en forte croissance grâce à un suivi plus adapté augmentant les capacités de traitement de l’équipe.
Les 5 piliers de la sécurité dans les projets
De ce retour d’expérience, nous avons identifié cinq piliers pour réussir son intégration sécurité dans les projets.
- La question sécurité doit être prise en compte le plus en amont possible pour simplifier son traitement et réduire les coûts.
- Elle doit être traitée de manière interactive avec les acteurs projet pour une meilleure compréhension des besoins et un ajustement efficace des solutions possibles.
- Il faut s’intégrer à la démarche et aux livrables projets pour impliquer les acteurs projets et métier en minimisant le changement.
- Les exigences de sécurité doivent être associées avec des éléments précis de l’analyse de risque ou de la classification CIDT (Confidentialité, Intégrité, Disponibilité, Traçabilité) pour bien justifier la nécessité de ces exigences et se concentrer sur les risques essentiels.
- Enfin, le métier doit accepter les risques afin d’avoir conscience des arbitrages effectués et des risques qu’il prend.
Ecrit par Maxime de Jabrun.