Logo Sekoia

Gouvernance de la sécurité
 

Le RSSI doit définir le cadre et les outils de cette gouvernance. Sekoia est en mesure d'apporter ses conseils et ses compétences dans tous les aspects de l'élaboration des outils concourant à une bonne gouvernance de la sécurité dans l'entreprise.

Sekoia propose, dans le cadre de la gouvernance de la sécurité, de définir et de mettre en œuvre les trois projets suivants:

  • Le cadre de référence de la politique de sécurité
    Il permet de définir les objectifs généraux et les principes de sécurité de l'entreprise en matière de protection de son patrimoine informationnel et est structuré autour de trois éléments clés.
    • la politique générale qui énonce les enjeux du système d'information pour l'entreprise, présente les orientations majeures retenues par la Direction Générale à l'égard de la protection de son patrimoine informationnel et précise les principes directeurs en matière de responsabilités et d'engagements des différents acteurs et instances concernés
    • le schéma d'organisation détaillé qui, à partir des "missions types" communément admises liées au management des risques technologiques, décline les principes rôles/responsabilités énoncés au sein du document de politique générale de l'organisation générale de l'entreprise
    • des directives fonctionnelles énonçant les règles et principes généraux de sécurité à mettre en œuvre au sein des différents environnements organisationnels, technologiques et humains qui sous-tendent les activités.
       Sekoia propose, pour établir le cadre de référence, la démarche suivante:
    • à partir d'entretiens et de l'analyse documentaire un plan détaillé du document de politique générale est établi et soumis à validation. Dès son obtention le document est complété et enrichi
    • Sekoia a établi, à partir de son expérience et de standards reconnus comme ceux de la norme ISO 27002, un modèle générique d'organisation de la sécurité dans une entreprise. Ce dernier est enrichi avec l'aide du RSSI et soumis à la critique et la validation des différents responsables
    • Sekoia a conçu et maintient un modèle générique de directives fonctionnelles de sécurité. Ce dernier est amendé et/ou complété, à partir d'entretiens avec les responsables techniques ou fonctionnels, pour tenir compte des enjeux retenus dans la phase de politique générale et des principes sécuritaires déjà déployés au sein de la structure
  • Le schéma directeur de sécurité du système d'information
    Ce projet a pour objectif d'établir le schéma directeur de sécurité du système d'information. Il participe à la démarche globale conduit par l'entreprise de maîtrise des risques majeurs liés au système d'information.
    • Il met en évidence les enjeux majeurs du système d'information.
    • Il identifie les vulnérabilités organisationnelles, techniques, juridiques et réglementaires.
    • Il identifie les scénarios de risques.
    • Il définit un plan d'action de réduction des risques.
    • Il permet à la Direction Générale d'effectuer le choix des investissements sécuritaires les plus "efficients", au regard des impacts (notamment financiers) associés aux risques majeurs identifiés.
    Sekoia propose pour l'élaboration de ce schéma directeur la réalisation d'un audit-diagnostic qui se décompose en trois phases:
    • Evaluation des enjeux. Il s'agit de préciser et d'identifier les exigences opérationnelles en termes de Disponibilité, d'Intégrité, de Confidentialité et de Preuves.
    • Identification des vulnérabilités. Cette phase a pour objectif d'évaluer les moyens, dispositifs et procédures de sécurité déployés dans l'entreprise. Cette évaluation s'effectue à partir d'une analyse de la documentation, d'entretiens et d'investigations techniques (analyse de la configuration des équipements et tests d'intrusions).
    • Définition d'un plan d'actions hiérarchisé de réduction des risques.
  • Le tableau de bord de la sécurité de l'information
    Ce projet a pour objet de fournir, au RSSI et à la Direction générale, un dispositif de pilotage de la politique de sécurité mise en œuvre. Ce dispositif permet d'évaluer le résultat des moyens affectés à la protection du système d'information. Il garantit, en outre, la pertinence de cette politique vis-à-vis des risques majeurs pesant sur les activités considérées comme critiques.
    Cette appréciation de l'efficacité des moyens de sécurité se réalise au travers de l'analyse d'informations retournées par des indicateurs choisis de façon pertinente.
    Sekoia propose une approche pragmatique pour la conception et l'élaboration de tableau de bord de la sécurité. La mise en œuvre d'un système d'indicateurs de sécurité se caractérise par :
    • une bonne compréhension des attentes et objectifs prioritaires en termes de sécurité des personnes destinataires du tableau de bord,
    • des indicateurs simples, de compréhension rapide et sans ambiguïté même si cela se réalise au prix de certaines approximations ou tolérances,
    • une évolution permanente vers des indicateurs plus précis et plus complexes soutenue par une demande des responsables plus attentifs à la valeur ajoutée générée par ce type d'outils.

Les nouveautés

Calendrier formations 2012

Le calendrier des formations 2012 a été publié.

Toutes les infos

Télécharger le calendrier

Calendrier formations 2011

Le calendrier des formations pour le 1er semestre 2011 a été publié.

Toutes les infos

RSS

Archives…

Contactez-nous

Email

contact@sekoia.fr

Sekoia

33, rue Galilée
75116 Paris
Tél: +33.(0)1.44.43.54.13
Fax: +33.(0)1.47.23.68.14

Webmaster: webmaster@sekoia.fr

Nous connaître…

© Copyright Sekoia 2008 - Mentions légales