La sécurité de l'information
Par Plum05 • 10 Septembre 2018 • 11 929 Mots (48 Pages) • 464 Vues
...
- La continuité
La disponibilité des services et des moyens est le fondement même pour l’entreprise de sa capacité à fonctionner. Il faut donc pouvoir établir un plan permettant la continuité des activités essentielles.
La gouvernance relie à la fois les éléments stratégiques (sécurité, continuité, conformité, risque, …), les modèles de pratique (ITIL, ISO, …) et ses propres capacités d’organisation. Elle permet ainsi l’encadrement de la mise en œuvre de solutions opérationnelles aux besoins stratégiques comme illustré ci-dessous :
[pic 4]
La démarche de construction d’une gouvernance de la sécurité oblige l’adoption d’une mise en place cohérente à partir de référentiels et méthodologies connus si l’on considère la nature, la dimension et la complexité des activités reliées.
---------------------------------------------------------------
Les facteurs clés de réussite :
- L’engagement et l’implication de la Direction et de l’encadrement dans la démarche (actions, exemplarité et présence sur le terrain).
- Intégrer la gestion de la sécurité dans les fonctions de l’entreprise (définir les rôles et responsabilités – développer les compétences nécessaires).
- L’existence d’une culture sécurité dans l’entreprise.
- La connaissance des démarches de management
- similaires, basées sur l’amélioration continue des performances.
- Tenir compte des changements dans l’environnement de travail (situation financière, changements d’organisation ou de personnel).
Le diagramme suivant propose une vision d’association d’éléments en vue d’une telle mise en place :
[pic 5]
Source : Losange Informatique, la gouvernance IT
---------------------------------------------------------------
2.1. Construire un système de gestion de la sécurité et le faire vivre dans le temps
Un système d'information n'étant pas limité au système informatique, une politique de sécurité des systèmes d'information ne se limite pas à la sécurité informatique.
Ce paragraphe est inspiré du travail de l’INERIS concernant la mise en place d’un Système de Gestion de la Sécurité d’un site industriel type « Seveso 2 » mais dont la méthodologie est adaptable à la gestion de tout type de risque.
La construction d’un système de gestion de la sécurité pourra s’articuler autour de quatre grandes étapes.
ETAPE 1 : PRESENTATION DU PROJET
ETAPE 2 : LANCEMENT DU PROJET
ETAPE 3 : MISE EN OEUVRE
ETAPE 4 : AUDIT DU SGS MIS EN PLACE
2.1.1 Présentation
Il s’agit de présenter la démarche de construction du SGS qu’il serait souhaitable de mettre en place. Il faut arriver à la fois à convaincre si nécessaire la direction de l’entreprise du bien fondé du projet mais aussi et de fixer les grandes lignes afin de pouvoir impliquer les personnes concernés par les objectifs à atteindre.
Le management de la démarche :
Seront ainsi abordés différents aspects au travers de grands thèmes :
· Organisation, formation
· Identification et évaluation des risques
· Maîtrise des procédés, maîtrise d’exploitation
· Gestion des modifications
· Gestion des situations d’urgence
· Gestion du retour d’expérience
· Contrôle du SGS, audits et revues de direction.
---------------------------------------------------------------
Ces activités pourront être pensées selon la structure de boucle de Deming
[pic 6]
La gestion de la documentation
L’INERIS a proposé d’organiser et de gérer la documentation concernant le Système de Gestion de la Sécurité via un système directement inspiré du management de la qualité via un système de pyramide documentaire.
[pic 7]
---------------------------------------------------------------
Il peut être intéressant de rappeler les objectifs de la documentation :
- Enregistrer et stocker l’ensemble des données relatives à un projet donné (caractéristiques, activités, résultats, …)
- Garantir aux acteurs la fiabilité, la qualité et la rapidité des renseignements diffusés.
- Favoriser l’accès de tous les acteurs à l’information et faire en sorte qu’ils disposent d’une documentation à jour.
- Atteindre la qualité requise.
En précisant qui fait quoi et comment le faire, des confusions sur des termes comme processus et procédures peuvent être levés.
Une pyramide documentaire applicable à un SGS pourrait s’articuler en trois niveaux.
- Un premier niveau rappelle les principes directeurs de la politique de sécurité mais déclinables en moyens concrets.
- Un deuxième niveau reprend l’ensemble des procédures générales et répond aux questions « sur quoi porte et qu’est-ce que fait le SGS ? »
- Enfin, un dernier niveau permettant la transposition les documents systèmes du niveau 2 en documents opérationnels.
2.1.2 Lancement du
...