Préparez-vous à votre atelier 1
Revenons sur notre groupement de vétérinaire VETO+ souhaitant analyser son outil de gestion de paie. Par où commenceriez-vous ? Allez, je vous aide en vous donnant les premières étapes.
Quelles personnes inviter à l'atelier ?
Pour garantir le succès de l'atelier, il est essentiel d'inviter les bonnes personnes. Voici les participants typiques à inclure :
Responsable de la sécurité de l'information (CISO) ;
Responsables des départements métier concernés ;
Représentants de la direction générale ;
Experts techniques (administrateurs système, responsables réseau, etc.) ;
Responsables de la conformité et des audits internes.
Ces participants apporteront des perspectives variées et garantiront que tous les aspects de la sécurité sont couverts.
Dans le cadre du logiciel de gestion de paie de VETO+, nous inviterions notamment le responsable des ressources humaines et des représentants des ressources humaines, car ils seraient directement concernés par les fonctionnalités et les données traitées dans ce système.
Identifiez le socle de sécurité
La première chose à savoir est : est-ce que l’organisation que vous allez analyser possède un socle de sécurité ?
Mais au fait, c’est quoi un socle de sécurité ?
Afin de mieux comprendre voici un exemple concret, dans le cadre d’une menace de phishing détectée :
Si le socle de sécurité inclut déjà une mesure comme la réalisation d'exercices de simulation de phishing, il n'est pas nécessaire de proposer une action supplémentaire telle que le renforcement de la sensibilisation au phishing, car cette sensibilisation est déjà intégrée dans les exercices existants. L'objectif est d'éviter la redondance et de concentrer les efforts sur des mesures complémentaires pour réduire un maximum le niveau de dangerosité.
Et que faire si l’entreprise que j’étudie ne possède pas de socle de sécurité ?
C’est une très bonne question ! Créer le socle de sécurité est essentiel pour poser les bases solides de la gestion des risques au sein d’une organisation. C'est une étape importante car elle permet de :
comprendre les besoins spécifiques de l'organisation en matière de sécurité ;
identifier les actifs critiques qui nécessitent une protection ;
établir un cadre de référence pour toutes les activités de gestion des risques ultérieures.
Si l’entreprise ne possède pas de socle de sécurité, vous devrez préparer le terrain pour une gestion des risques structurée et efficace. Commencez par vérifier s'il existe déjà des référentiels de sécurité ou des règles de base appliquées dans l'organisation, ainsi que les écarts par rapport à ces standards.
Cette étape est cruciale, car elle permet d’alléger le plan de traitement des risques en sachant où l'organisation se situe par rapport aux mesures de sécurité de base. Si aucun socle n'est en place, il est recommandé de proposer des référentiels comme le Guide d’hygiène informatique de l’ANSSI pour établir une base solide de sécurité.
L'objectif de cette première partie d'atelier est de cadrer la démarche en :
définissant le périmètre de sécurité de l'organisation,
identifiant les actifs essentiels et les données sensibles,
établissant le contexte organisationnel et technologique,
fixant les premières priorités en matière de sécurité.
Ce cadrage va permettre de poser les bases nécessaires à la création d'un socle de sécurité solide, que nous explorerons par la suite ! 😎
Définissez le périmètre de sécurité
Pour notre outil de gestion de paie, cela implique d'identifier les modules critiques du logiciel (comme la gestion des bulletins de paie, des paiements, des primes et les notes de frais) et de déterminer quelles données doivent être protégées. C'est un peu comme établir les frontières d'une forteresse : vous devez savoir où concentrer vos défenses.
Identifiez les actifs essentiels : les valeurs métier
Dans cette étape, vous identifiez les actifs essentiels appelés "valeur métier" dans la méthodologie EBIOS RM. Pour notre logiciel de paie, les actifs incluent par exemple les bases de données contenant les informations financières, les identifiants des utilisateurs, et les serveurs sur lesquels le logiciel est hébergé.
Appréhendez le contexte de menace
Une fois les actifs identifiés, il est important d'appréhender le contexte organisationnel et technologique de menace. Cela signifie identifier les menaces potentielles qui pourraient affecter notre logiciel.
Par exemple, des attaques par phishing visant les comptables, des logiciels malveillants cherchant à exfiltrer des données financières, ou des failles de sécurité dans le code du logiciel.
Comprendre ces menaces vous permet de mieux anticiper et préparer des réponses adaptées.
En résumé
Définir le périmètre métier et technique à couvrir.
Identifier les événements redoutés susceptibles d'affecter les actifs essentiels et les données sensibles.
Établir un socle de sécurité solide en fonction du périmètre défini.
Les premières étapes de l'atelier 1 étant réalisées, nous allons maintenant définir les valeurs métiers et les biens supports !