Documentation SMSI avec Alfresco

Le système documentaire d'un SMSI

On réduit souvent la problématique de la documentation d'un SMSI a besoin de construire un systèmes documentaire sur 4 niveaux :


Mais les besoins de construire la documentation d'un SMSI vont bien au delà du seul besoin de documenter les processus liés à la sécurité.  La rédaction des procédures doit permettre une meilleure compréhension du processus. Le fait d’écrire facilite un raisonnement rationnel scientifique.

Le principal bénéfice de la contruction d'une documentation SMSI

 

Il faut s'inspirer des études et recherches sur les enjeux, bénéfices de la documentation de la qualité dans une organisation ISO 9000.

Un référentiel qualité ISO 9000 constitue un outil de management des connaissances qui conduit à une explicitation et une diffusion des savoirs dans l'entreprise. Si la documentation ISO 9000 est conçue d'emblée comme un système d'apprentissage avec objectif de création de connaissances, alors elle permettra ainsi :

  • un processus de partage d'expériences développant de fait des aptitudes techniques
  • la transformation de concepts en connaissances explicites
  • un moyen d'assimilation de ces connaissances explicites en savoirs faire opérationnels

Cela implique évidemment que la construction du référentiel documentaire soit un travail d'élaboration conjointe avec les collaborateurs concernés.

En revanche si ce travail est fait en le Responsable Qualité (ou Sécurité) et un consultant externe, alors il est clair qu'il n'y aura pas d'appropriation par l'organisation du modèle, mais bien un rejet car la démarche sera perçue comme une démarche formaliste, générant des règles bureaucratiques induisant perte de temps et inertie.

Malheureusement beaucoup de RSSI fonctionne dans ce modèle là, car il s'agit avant tout de produire rapidement des documents "crédibles". Tant pis si les processus ne sont pas compris par les opérationnels, le RSSI compte sur l'organisation de boucles de contrôle pour les faire appliquer.

Les freins à la documentation d'un SMSI

Ils sont identiques à ceux liés à la documentation d'autres systèmes de management, celui de la qualité notamment :

  • le management d'entreprise considère que les enjeux se situent ailleurs et que l'effort porté sur l'optimisation et la documentation des processus est faible
  • le management intermédiaire aime bien fonctionner en mode "héros" et donc privilégie le règlement des dysfonctionnements et la gestion des incidents au traitement de l'origine du problème
  • les personnes du terrain peuvent faire obstacle à la rédaction de procédures qui les désapproprient d’une partie de leur savoir-faire.

Néanmois certains freins sont plus spécifiques aux SMSI :

  • la rédaction d'une procédure est difficile acceptable quand on est qu'une toute petite équipe à travailler sur un processus (1,2 ou 3 personnes)
  • la  formation d'ingénieur informaticien n'est que peu axée sur la dimension qualité, or rédiger des documents liés aux processus de sécurité procède plus à une culture qualité qu'une vision technique de la mise en oeuvre d'une mesure de sécurité
  • la notion d'enregistrement (et pas seulement sécurité) est peu dans la culture informatique 

ECM, un facilitateur pour développer une culture sécurité ?

Evidemment il ne faut compter sur un outil ne pourra pas résoudre des problèmes, néanmois l'utilisation d'un ECM de type ALFRESCO permettra :

logo-alfresco
  • de favoriser le travail collaboratif et le partage d'expériences
  • la diffusion d'information autour du SMSI
  • la production d'une architecture documentaire cohérente par un rattachement systématique des documents entre eux (procédures, instructions, enregistrements, données internes ou externes, ...)
  • la production de fiches de non-conformité, d'incidents avec l'utilisation de formulaires combinée avec les outils de workflow d'Alfresco
  • le partage des rapports d’audit
  • ...

La documentation d'un SMSI

La documentation d’un SMSI

La documentation doit être accessible aisément et la présence d’un ECM de type Alfresco (voir Exemple) ou Sharepoint facilitera grandement la tâche.

Les 4 niveaux de documents à produire sont :

  • Un document de Politique de Sécurité de l'Information, décrivant la politique de sécurité générale

  • Des procédures générales (ou politiques de sécurité)

  • Des fiches d’instruction détaillées

  • Des enregistrements sécurité (formations sécurité du personnel, registre des incidents, analyse des logs, ...)

 

 

Les principales politiques ou procédures de sécurité

Il est évidemment difficile de décrire ici l'ensemble des procédures à définir, mais on peut considérer que chaque entreprise devrait avoir rédigé, validé et diffusé les politiques de sécurité suivantes :

  • Procédure de sauvegardes et restauration des données,
  • Procédure de gestion d'incident de sécurité,
  • Procédure de sécurité Internet,
  • Procédure de sécurité des réseaux,
  • Procédure de gestion des habilitations,
  • Procédure de sécurité du poste de travail,
  • Procédure de sécurité liée à la mobilité,
  • Plan de secours,
  • Procédure de gestion de crise.

SMSI : Améliorer (Act)

SMSI : Améliorer (Act)

Il s'agit de définir les actions qui permettront de réaliser les corrections et améliorations du SMSI  suite à :

  • un changement de périmètre ayant un impact sur le périmètre du SMSI
    • nouveaux risques (nouvelles menaces apparues, nouvelles vulnérabilités)
    • modification du périmètre technique, organisationnel ou fonctionnel (nouveaux actifs)
  • une nouvelle activité de l'entreprise ou l'organisme
  • des audits qui ont identifiés que des mesures de sécurité 
  • une analyse des incidents de sécurité de la période (en général à ce niveau, on traiter les incidents critiques, c'est à dire ceux qui ont engendré un impact fort en DIC sur l'entreprise ou l'organisme

SMSI : structuration du plan d'action

Il est habituel dans les systèmes de management de classer les actions résultantes en 2 catégories :

  • Action corrective : action entreprise pour éliminer les causes d’une anomalie existante ou tout autre événement existant indésirable, pour empêcher leur renouvellement" (ISO 8402-1)
  • Action préventive : "action entreprise pour éliminer les causes d'une anomalie potentielle ou tout autre événement existant indésirable, pour empêcher leur renouvellement" (ISO 8402-1)


SMSI : Contrôler (Check)

Il s'agit de vérifier :

  • qu’il n’existe pas d’écart majeur entre ce que le SMSI définit et ce qui est mis en œuvre en pratique.
  • mais surtout que les mesures de sécurités qui couvrent les risques les plus critiques sont adaptés, efficaces et robustes.

Il ne faut pas se tromper de cible : il s'agit bien de vérifier que les risques principaux sont sous contrôle et non pas que le SMSI "ronronne"

Lire la suite : SMSI : Contrôler (Check)

SMSI : Déployer

SMSI : Déployer

Cette étape consiste à :

  • mettre en oeuvre les mesures de sécurité décidées dans le plan de traitement des risques validée à l'étape précédente (validée généralement par la Directionde l'entreprise)
  • mettre en conformité les mesures de sécurité existantes (documentation, auto-contrôles, ...)
  • compléter la mise en oeuvre des mesures de sécurité existantes (périmètre technique, outillage ...)
  • vérifier que les contrôles des processus sont corrélés aux scénarios de risques les plus graves pour l'entreprise
  • ...

Lire la suite : SMSI : Déployer

  • 1
  • 2

Copyright Ysosecure © 2002 - 2018