Par la rédaction le 21/06/2004
Par Dominique Floquet et Serge Krief
Si elle souhaite gérer efficacement la sécurité informatique, une grande entreprise doit posséder une entité de sécurité indépendante des unités opérationnelles.
La structure de l´entité de sécurité doit comprendre :
- un comité de direction
- un département gérant la sécurité
- un organe de révision mandaté par le comité directeur
- des acteurs sensibilisés (administrateurs, utilisateurs, chef de projet ou de service, responsable)
Le Comité de direction est chargé de :
- de valider la politique de sécurité,
Le département de gestion de la sécurité est chargé de :
- définir le projet de sécurité et le périmètre inhérent à ce dernier,
- définir le budget nécessaire à la gestion de la sécurité (achat de produits, déploiement), contrat de maintenance SLA, TMA,
- suivre l´évolution des risques, des normes de sécurité, des besoins, => cycle de vie de la sécurité,
- d´effectuer les audits lors de l´installation d´un nouvel élément.
Il est responsable du plan de sensibilisation et de formation des utilisateurs (charte de l´utilisateur) à la sécurité de l´entreprise,
L´organe de révision est chargé :
- d´établir un référentiel sur le niveau de sécurité du système d´information, existant dans l´entreprise.
Ce référentiel se fera au moyen d´audits non seulement technique mais aussi général et suivant les cibles. Voici une liste des différents audits :
- audit financier et organisationnel, important pour le DSI
o contrôle l´adéquation de la stratégie informatique, du plan informatique (schéma directeur), et du budget
o analyse des coûts
o dispositions légales
- audit de la sécurité (ce qui nous intéresse),
o contrôles sur l´ensemble des cibles et domaines de sécurité
- audit d´exploitation
o analyse et contrôle l´ensemble des procédures,
- audit des acteurs du système d´information
Les acteurs gérant la sécurité sont :
- les administrateurs sécurité .Ils sont garants de la politique de sécurité, assurent la gestion de la sécurité, gèrent les incidents, déterminent les actions à entreprendre pour limiter les incidents. Ils sont aussi garants de la disponibilité des éléments du système d´information ciblés
- le responsable RH. Dans ce cadre, ils sont chargés de contrôler et de valider l´engagement des nouveaux collaborateurs internes et externes et de leur transmettre les procédures de sécurité de l´entreprise
- les chefs de service : Ils valident un plan de contingence et vérifient que les procédures de la politique de sécurité (plan d´actions) soient appliquées.
- Les utilisateurs : Il sont les maillons faibles de l´architecture de sécurité et doivent s´engager à respecter les règles définies par la politique de sécurité et à ne divulguer aucune information confidentielle de l´entreprise. Ils ne doivent utiliser que les outils mis à leur disposition par l´entreprise.
En conclusion, nous pouvons dire que la sécurité est, bien sûr, l´affaire de tous et toutes quelques soient la fonction ou la position hiérarchique dans l´entreprise.