La sécurité de l’information est un sujet qui prend de plus en plus d’importance dans notre société, et il n’est pas une semaine sans apprendre qu’une entreprise rencontre des difficultés sur ce point.
Vos clients sont donc de plus en plus exigeants sur votre capacité à garantir un certain niveau de sécurité dans les services que vous leur proposez. Cependant, il n’est pas rare que ces mêmes clients exigeants vous demandent de lever le pied lorsque vos contrôles sont trop importants et perturbent leurs activités.
L’un de vos premiers défis sera donc d’aligner la gestion de la sécurité sur les besoins de sécurité métiers. Vous obtenez cette information dans les SLR.
Par la suite, vous devrez vous assurer que la sécurité des données est effective pour tous les services produits et dans toutes les tâches de management. Vous obtiendrez cette information dans les revues régulières que vous allez mettre en place.
Dans le domaine de la sécurité, on utilise souvent l'acronyme DICT, qui correspond aux quatre critères qui vont vous aider à établir à formuler vos engagements :
disponibilité : l’information doit être accessible et utilisable quand on en a besoin ;
intégrité : l’information doit être exacte et complète ;
confidentialité : l’information doit être protégée contre une publication ou une interception non autorisées ;
trace ou preuve : tous les éléments des critères précédents doivent être prouvés.
On peut ajouter ces deux points supplémentaires :
l'authenticité qui permet de certifier l’identité de l’utilisateur de l’information ;
et le principe de non-répudiation qui garantit qu’une transaction a bien été réalisée par la personne.
Analysez le risque que court votre organisation
Cette analyse va concerner l’ensemble des critères DICT ainsi que les sujets de la capacité et de la continuité de service. Ses résultats seront donc utilisés par tous les processus de garantie des services. La prise en compte de ces risques va vous permettre de prioriser vos actions dans les différents plans à mettre en œuvre.
L’analyse de risque permet de déterminer le contrôle approprié pour prendre en charge un élément pouvant nuire à la sécurité de l’information.
Pour que la gestion du risque soit réellement adaptée aux exigences de vos clients, elle doit reposer sur une appréciation de risque et une analyse d’impact. L’analyse de risque débute par une identification des menaces et des vulnérabilités sur les actifs :
la vulnérabilité correspond à une faille potentielle sur un actif ;
la menace correspond à l’utilisation qui pourrait être faite de cette faille.
Pour réduire la probabilité que le risque ne se produise, vous devrez mettre en place une mesure de mitigation du risque.
Si le risque se produit, il ne s’agit plus d’un risque (potentiel) mais d’un incident (certitude). Pour réduire l’impact de l’incident sur votre SI, vous devez mettre en place une mesure de détection qui permet de réduire le délai entre son apparition et le traitement de l’incident.
Si l’incident entraîne des dommages et donc des conséquences néfastes, vous devez mettre en place des mesures de correction et/ou restauration, afin de limiter l’impact sur le métier.
Une analyse de risque réussie est le résultat d'une action collective impliquant tous les acteurs du système d'information : techniciens, utilisateurs et managers.
Élaborez une politique de sécurité
Par la suite, l’une de vos principales tâches sera de rédiger et/ou mettre en place :
une politique de sécurité de l’information et des politiques de sécurité spécifiques qui prennent en compte la stratégie, les exigences métiers et le contrôle de la réglementation ;
un système de gestion de la sécurité informatique (SMSI) qui contient les documents, les guides et les procédures ;
une structure organisationnelle de sécurité qui gère le processus ;
un ensemble de contrôles pour vérifier le respect des obligations de sécurité : en effet, comme indiqué précédemment, il est nécessaire de faire la preuve de ce qu’il se passe sur le système. Ces preuves vous permettront d’une part de rassurer vos clients sur votre capacité à gérer la sécurité, et d’autre part à investiguer les incidents de sécurité plus efficacement ;
un plan de communication associé à une éducation et une formation aux consignes de sécurité et aux procédures de sécurité dans l’entreprise ;
enfin et pour finir, vous devrez également mettre en place un processus permettant de réviser régulièrement la sécurité du SI, en particulier après l’analyse des incidents de sécurité et des traitements apportés à leur résolution.
Sensibilisez le personnel à la sécurité
Pour que vos politiques, chartes et pratiques de sécurité soient utilisées par vos utilisateurs, il est indispensable de former et informer le personnel et les utilisateurs sur des sujets tels que :
la sécurité en général : comprendre les risques et les vulnérabilités les plus présentes dans le monde ;
les méthodes internes : connaître les politiques et chartes mises en œuvre dans l’entreprise, les limites fixées par la direction générale et le mode de déclaration des incidents de sécurité, afin d’en accélérer le traitement ;
les risques spécifiques du domaine : comprendre les risques et les vulnérabilités liés au domaine métier qui concerne votre entreprise
les plans et leurs fonctionnements : savoir réagir et être conscient de son rôle lors d’un désastre au sein de l’entreprise.
En résumé
La gestion de la sécurité de l’information est basée sur un cycle d’amélioration continue. C’est un processus de planification et de conception des services.
L’objectif principal est de garantir le service contre une faille sur les critères de disponibilité, d’intégrité, de confidentialité et de traçabilité.
L’analyse de risque est fondamentale pour identifier et réduire les menaces et les vulnérabilités.
Élaborer une politique de sécurité permet de mettre en place le plan de réduction des risques et également de donner les règles et les pratiques à respecter.
La sensibilisation et la formation aident le personnel à prendre conscience qu’il est un des rouages les plus importants de la sécurité.