SMSI : Planifier

Première étape PLAN  : Planifier

Les différentes actions de l'étape PLAN sont :
  • La définition d'un périmètre du SMSI, c'est à dire :
    • quel périmètre en termes d'activités de l'entrepriser ou organisme (périmètre fonctionnel, par métier, géographique, ...)
    • quelles sont les interfaces importantes entre ce périmètre et les domaines non couverts par le SMSI (qu'ils soient internes ou externes à l'entreprise)
  • Le choix d'une approche de gestion des risques liés aux SI (voir la partie Méthode) :
    • approche plutôt globale pour couvrir les principaux risques mais sans en faire une analyse approfondie en termes d'impact
    • approche plus fine d'analyse des scénarios de risque et de pilotage de ces risques dans la durée
      • Ce choix est important car il va conditionner le choix d'une méthode de gestion des risques, l'implication des métiers dans la quantification des risques
  • La mise en oeuvre de la méthode choisie de gestion des risques :
    • Analyse du contexte, définition des seuils d'acceptation des risques
    • Cartographie et classification des actifs
    • Identification des menaces
    • Analyse des vulnérabilités
    • Identification des situations de risques
    • Classification des risques
    • Traitrement des risques retenus 
  • La définition et la validation du plan de traitement des risques :
    • liste des risques couverts et non-couverts
    • choix des solutions pour couvrir les risques
    • définition des coûts, bénéfices, impacts des solutions retenues
    • acceptation des risques résiduels et des solutions par la Direction

La plan de traitement des risques, issue de cette étape, devrait inclure en face des risques à traiter :

  • L'option prise dans son traitement (réduction, tranfert, ...) et la description de la solution prise
    • les contraintes liées à cette réduction du risque (temps, financier, humain, ...)
    • les coûts induits
    • les bénéfices attendus
  • Le niveau de risque résiduel
  • éventuellement les risques induits

Les principaux pièges de cette étape sont :

  • le choix d'un périmètre de SMSI qui va conditionner la réussite ou l'échec du projet
  • l'analyse des risques, mais surtout l'analyse des enjeux métiers (le contexte)
  • la sous-estimation des ressources et des freins au déploiement du SMSI

 

ISO 27001 : le seul modèle de SMSI ?

Le modèle PDCA et la maturité des processus et architectures de sécurité

La norme ISO/IEC 27001 est devenue le référentiel incontournable des SMSI. Elle est complétée d’autres normes (série 27000) qui sont pour la plupart des documents en support.

Pourtant cette norme ISO 27001 ne constitue pas un cadre vraiment satisfaisant vis à vis des notions de maturité en sécurité et ne propose aucune approche.

Lire la suite : ISO 27001 : le seul modèle de SMSI ?

Pourquoi mettre en oeuvre un SMSI ?

Pourquoi mettre en œuvre un SMSI ?

Dès que l’on parle de système de management, les fantasmes ou les angoisses reviennent, et ceci est également vrai dans le domaine de la sécurité de l'information.

Certains pensent que c'est la solution pour que la sécurité des SI arrive à l'âge de raison en impliquant les métiers, en disposant d'une démarche cohérente et évidemment des budgets nécessaires pour mettre en oeuvre les mesures de sécurité.

D'autres voient une sécurité de façade, derrière de belles politiques et des processus qui sont pas ou mal appliqués.

Lire la suite : Pourquoi mettre en oeuvre un SMSI ?

Le choix du périmètre d'un SMSI

Le périmètre du SMSI

La question du périmètre d'un SMSI est importante quant à l'ampleur de la tâche. Elle se pose dès la première étape d'analyse des risques : quel est le périmètre à analyser en termes d'enjeux, donc de processus métiers, de faiblesses ?

Certaines entreprises ont défini un périmètre si large, que les évolutions permanentes de l'activité ne leur permette jamais de construire le socle du SMSI, c'est à dire l'activité de gestion des risques.

Lire la suite : Le choix du périmètre d'un SMSI

Que contient un document décrivant une Politique de Sécurité de l’Information ?

Politique de sécurité de l'information

Thèmes à aborder

Un document de Politique de Sécurité de l’Information devra inclure les thèmes suivants:

  • une définition de la sécurité de l'information, ses objectifs, sa portée globale et l'importance de la sécurité dans le partage de l'information;
  • une déclaration de l’implication de la direction de l’entreprise ou de l’organisme
  • une synthèse des principes de sécurité, des normes et des exigences de conformité d'importance particulière pour l’organisme, par exemple:
    • conformité aux exigences légales et contractuelles;
    • exigences de formation à la sécurité des collaborateurs;
    • prévention et détection des virus et tout autre logiciel malveillant;
  • les objectifs principaux en terme de gestion de la continuité d’activité;
  • une présentation des conséquences de violation de la politique de sécurité;
  • une définition des responsabilités générales et spécifiques de gestion de la sécurité de l'information, y compris les modalités de déclaration des incidents de sécurité;
  • les références à la documentation qui peuvent soutenir cette politique, par exemple des procédures plus détaillées de sécurité pour les utilisateurs de systèmes d'information spécifiques ou de règles de sécurité que les utilisateurs devront suivre.
  • 1
  • 2

Copyright Ysosecure © 2002 - 2019