Protégez votre patrimoine informationnel : le savoir de votre entreprise.

"Une entreprise ne vit que par les informations qu'elle échange. Dans cette nouvelle ère numérique, considérer le risque numérique garantit la pérennité de l'information."

Gérer et améliorer la sécurité des Systèmes d'Information

La sécurité des systèmes d'information est avant tout une gouvernance. L'objectif est de sécuriser les informations essentielles aux processus métiers. La sécurité des SI doit être gérée et améliorée continuellement et de manière à capitaliser sur les incidents de sécurité, les risques encourrus, etc.
Il s'agit de concevoir un système de management de la sécurité des SI (SMSI) au même titre qu'il existe des systèmes de management de la qualité (SMQ). C'est un véritable projet de construction d'une organisation autour de la cyber sécurité qui, une fois terminé et en phase d'exploitation, permet de prendre en compte la sécurité des systèmes d'information au quotien au sein de l'organisation.

Il s'agit donc de vous aider à concervoir, lancer et exploiter une organisation : un ensemble de règles, de procédures et de politiques pour protéger des menaces pesant sur vos données sensibles, apporter de la confiance aux parties prenantes, et être en conformité réglementaire.

Ce concept de management de la sécurité émane de la norme ISO 27001.

Le projet "système de management de la sécurité des systèmes d'information" peut se décomposer en trois grandes phases :

  • Stratégie
  • C'est le temps des questions. A qui devons-nous apporter de la confiance ? A quelles réglementations devons-nous répondre ? Quel périmètre nous fixons-nous ? Quels informations devons-nous protéger ? Quel niveau de sécurité devons-nous atteindre ?
  • Implantation
  • Quelle méthode de gestion des risques utiliser ? Comment développer un plan de traitement de risques ? Comment atteindre le niveau de sécurité désiré ? Quelles mesures de sécurité envisager ?
  • Exploitation
  • Le projet et terminé et implanté, il est désormais exploité. Comment apprenons-nous des incidents de sécurité ?

Management de la cybersécurité : les bénéfices

Réduction des risques liés à la sécurité des systèmes d'information
  • Renforcer et valoriser les politiques et mesures de sécurité existantes, les mettre à jour
  • Valoriser, prioriser, classifier les informations de l'entreprise
  • Améliorer continuellement le niveau de sécurité et prendre en compte constament les nouveaux risques
  • Prise en compte des besoins de sécurité internes mais également externes, de vos clients et fournisseurs par exemple
Standardisation, approche structurée
  • Une approche structurée accroît l'identification des menaces, des vulnérabilités et le traitement des risques
  • Etablir un schéma directeur, comprendre et contenir les dépenses
  • Donner de la visibilité à la Direction
  • Utilisation de bonnes pratiques pour gagner du temps et des ressources, cesser de réinventer la roue
  • Eviter des vérifications souvent multiples, réaliser à plusieurs niveaux. Là encore, vous économisez des ressources
  • Se concentrer sur les actifs essentiels et éviter des dépenses sur les actifs non sensibles : gain de temps et financier
  • Utiliser un standard international accroît l'image de marque votre entreprise

Mon entreprise et les normes ISO

Il existe une confusion entre l'usage des normes de sécurité et la sécurité opérationnelle.

Les normes ISO 27001, 27002 et 27005 permettent d'assurer aux parties prenantes que la sécurité des Systèmes d'Information est "gérée" selon les standards internationnaux.

L'implémentation d'une norme est projet conséquent. Il faut noter qu'une certification ISO ne garantit pas un bon niveau de sécurité. Les analyses afférentes au projet peuvent être décorrelées des fondements technologiques du systèmes d'information et induire des riques persistants. En effet ils échappent aux processus d'analyses de risques, souvents situés à des niveaux d'abstraction élevés.

Le seul usage des normes est insuffisant, et sauf exception, il apparaît comme peu valable pour les petites et moyennes entreprises, pour lesquels le retour sur investissement est à mon sens hypothétique.

Manager la sécurité avec pragmatisme

Il convient d'adopter une approche pragmatique avec l'objectif de sécuriser vos systèmes d'information, améliorer la disponibilité, réduire les risques en restant tourné perpétuellement vers l'enjeu : préserver et développer votre activité.