Bonjour,

Donc on m’a demandé de réaliser une méthode qui permet aux personnes de mon entreprise d'évaluer le niveau de sécurité nécessaire à un SI qu'ils créent. Cette analyse devrait être réalisé avant même de parler de la création du SI, application.

En gros, je crée un questionnaire, les gens y répondent et ils obtiennent le niveau de sécurité conseillé. Les niveaux de sécurité seront dans ce genre :

niv 0: "à poil" sur internet

niv 1: "à poil" en interne

niv 2: "protégé" en interne

...

Quelque chose que tout le monde comprends (Je vous rassure même les SI qui correspond au "à poil" sur internet ne sont jamais à poils sur internet)

Bien souvent les bureaux comme la RH ou autre, nous présente une application et nous disent:

"Installer nous ce truc" et on a aucune info sur le niveau de sécurité à appliquer. Et bien souvent on se rend compte que l'application n'est pas utilisable parce que on ne peut pas appliquer un niveau de sécurité suffisant (par exemple pas de double authentification, pas de traçabilité ...) ou que au contraire il y a bien trop de sécurité et cela ne sert à rien mis à part imposer des contraintes aux utilisateurs.

On aurait principalement trois critères à évaluer:

• Confidentialité:
• Intégrité: (Liée à la confidentialité)
• La disponibilité:

J'ai déjà regardé plusieurs choses, notamment pas mal de norme ISO (27001,27002),  et j'ai prévu de faire certaine chose comme:

- Recensé tous les problèmes possible dans l'entreprise liée à des systèmes d'information qui pourrai avoir un impact sur le bon fonctionnement de l'entreprise (Je vais pour ça aussi avoir besoin de faire des recherche sur chaque corps de métier de l'entreprise)

Ce que je pensais faire c'est:

• À partir de ces risques déterminer une liste de critère qui seront à étudier (et de là, déterminer une série de question pour l'évaluation)
• Choisir un set de système d'information qui ont déjà été implémenté, et les testés par rapport à ces questions et leurs niveaux de sécurité (Je pensais faire deux truc genre un training set et un validation set)
• Évidemment, les systèmes choisit doivent couvrir tous les corps de métier.

 Voila, si quelqu'un à des pistes, idées, remarques, question ...

Salut,

Je ne suis pas sûr de bien comprendre. Chaque personne de ta boîte a la possibilité de créer et déployer une appli sur le SI ?

Si oui, ta première faille se situe là

No, mais chaque bureau, Par exemple la RH a besoin d'un nouvelle appli pour gérer les utilisateurs, la recherche veux un application pour enregistré des résultats etc (La boite a plus de 1600 employée répartis un peu partout dans le monde).

Il nous en parle mais généralement pas assez c'est pour ça qu'on veut leurs propose une méthode avec des question qu'il peuvent comprendre (genre y a t'il plus de 50 utilisateurs du système, Le système doit il être opérationnel 24h/24 7j/7) etc.

Je vois.