• 6 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 21/12/2022

Identifiez les ressources nécessaires et planifiez les audits

Identifiez les ressources et le budget nécessaires

Comme nous l’avons vu pour un audit ou un contrôle unitaire, vous devez vous poser plusieurs questions pour identifier les ressources et le budget nécessaires :

  • Qui va réaliser les audits et contrôles ?

  • Qui va être mobilisé pendant chaque audit ou contrôle, et à quelle hauteur ?

  • Qui va traiter la remédiation pour chaque audit ou contrôle ?

Nous avons déjà vu comment répondre à ces questions aux chapitres précédents. Vous devrez appliquer la même approche pour chaque audit ou contrôle à réaliser. Cela vous permettra de compléter votre document avec les réponses à ces questions pour chaque audit ou contrôle.

Lorsque vous définissez votre stratégie, il faut aussi vous poser les questions suivantes :

Qui va organiser et piloter la stratégie d’audits et de contrôles ?

En effet, comme votre stratégie comprendra plusieurs audits et contrôles, il sera nécessaire de vous assurer qu’elle se déroule comme prévu, d’identifier les acteurs internes à mobiliser, de suivre les travaux, d’organiser d’éventuels arbitrages en cours de route, etc.

Généralement, ce suivi est organisé par la personne à l’initiative de la stratégie : autrement dit, vous ! Vous pouvez choisir de le réaliser vous-même, ou le déléguer à une personne de votre équipe ou à un prestataire.

Qui va piloter la remédiation ?

Cette question est essentielle surtout lorsque l’on réalise un nombre important d’audits et de contrôles. Il est alors très important de bien suivre l’avancement de la remédiation sur chaque audit ou contrôle afin de s’assurer qu’elle est efficace, et que l’on ne se retrouve pas avec un stock trop important de failles non traitées.

Ce pilotage doit aussi permettre d’identifier les éventuelles difficultés dans la remédiation : manque de budget, problèmes techniques ou autre.

Pour traiter ces points, il peut être utile d’organiser un comité de suivi de la remédiation à intervalles réguliers, afin de réaliser des arbitrages avec les différents responsables des périmètres concernés.

Ici aussi, le pilotage global de la remédiation est généralement à réaliser à votre niveau. En fonction de l’organisation de votre entreprise et des périmètres audités, vous pourrez potentiellement déléguer le pilotage plus opérationnel à d’autres interlocuteurs SI ou cybersécurité.

Par exemple, pour le cas de PayeTonPote, quelles seraient les réponses à ces questions ?

Planifiez votre stratégie d’audits et de contrôles

Pour traiter la question du planning, il faudra appliquer l’approche vue précédemment pour chaque audit ou contrôle unitaire, afin de définir :

  • quel est le planning idéal du point de vue cybersécurité ;

  • s’il y a des contraintes de planning à prendre en compte.

Dès lors, vous pourrez enrichir votre document de synthèse avec ces éléments.

Mais attention ! Dans votre stratégie d’audits et de contrôles, vous ne pourrez généralement pas tout faire en même temps.

Au-delà de la temporalité de chaque audit ou contrôle unitaire, il faudra vous interroger plus globalement :

Quels audits et contrôles puis-je réaliser en parallèle ?

Pour répondre à cette question, il faut revenir à la question du “Qui” que nous venons de voir. En effet, si les même personnes sont mobilisées sur plusieurs audits ou contrôles, il est possible que vous ne puissiez pas les réaliser en parallèle, en fonction de la charge de travail demandée.

Combien de temps doit durer ma stratégie d’audits et de contrôles ?

Il est possible que vous ayez déjà une durée en tête pour votre stratégie. Elle doit être adaptée au niveau de risque, bien sûr, mais aussi à la vitesse d’évolution de votre SI : si vous planifiez des audits sur 3 ans mais que votre SI est très mouvant, cela ne sera probablement pas adapté.

Une durée intermédiaire entre 6 mois et 1 an est généralement adoptée, mais cela sera à adapter au contexte de votre entreprise.

N’oubliez pas que la durée “minimum” sera aussi limitée par votre capacité à réaliser certains audits et contrôles en parallèle, et également par le budget que vous pourrez obtenir !

Ces éléments doivent vous permettre de planifier vos audits et contrôles dans le temps, en priorisant si besoin.

Par exemple, pour le cas de PayeTonPote, quelles sont les réponses à ces questions, selon vous ?

Obtenez le budget nécessaire pour réaliser votre stratégie d’audits et de contrôles

Pour vous assurer de pouvoir réaliser la stratégie que vous avez définie, n’oubliez pas de calculer le budget nécessaire et de vous assurer que vous pourrez l’obtenir. Vous éviterez les mauvaises surprises !

Si dans votre contexte vous avez déjà une enveloppe, et qu’elle est suffisante pour réaliser tous les travaux dans le planning prévu, vous pouvez passer au chapitre suivant !

Si vous devez encore obtenir ce budget, vous pourrez vous appuyer sur le document que vous aurez construit, en vous basant sur le chapitre précédent pour échanger avec vos supérieurs.

Il vous permettra en effet de :

  • présenter votre stratégie de manière claire et synthétique ;

  • montrer qu’elle adresse les événements les plus redoutés pour l’entreprise ;

  • clarifier l'intérêt pour l’entreprise à réaliser chaque audit et chaque contrôle.

Si malgré cette présentation, le budget proposé est contraint, ce document vous permettra de décider de manière éclairée des audits et contrôles qui ne seront pas réalisés. Vous pourrez ainsi mettre clairement en évidence les événements redoutés qui ne seront pas couverts, ou le retour sur investissement qui ne sera pas obtenu.

À vous de jouer !

Vous allez à présent répondre aux questions “qui” et “quand”, objets de ce chapitre.

En reprenant le tableau que vous avez commencé à construire pour “quoi” et “comment”, finalisez votre stratégie en complétant les colonnes I à Q.

Et voilà la correction ! Comparez vos propositions à celles proposées dans ce tableau.

En résumé

  • La question “Qui” se traite à la fois au niveau de chaque audit ou contrôle, mais aussi de manière globale sur le pilotage de la stratégie et de la remédiation.

  • La réponse à la question “Quand” va aussi dépendre de la durée souhaitée pour votre stratégie, et des possibilités de réaliser des audits ou contrôles en parallèle.

  • Un document de synthèse présentant les réponses aux questions “Quoi”, “Comment”, “Qui” et “Quand” vous permettra de défendre l’obtention d’un budget pour réaliser votre stratégie d’audits et de contrôles.  

Bravo, votre stratégie d’audits et de contrôles cybersécurité est maintenant prête. Il ne vous reste plus qu’à la lancer !

Exemple de certificat de réussite
Exemple de certificat de réussite