Par la rédaction le 21/06/2004
Par Gérard Attal PDG d´Amacom
L´approche générale de la stratégie de sécurité d´une entreprise consiste à répondre avec pertinence à deux questions : QUOI ? COMMENT ?
La réponse au QUOI
Elle relève d´une réflexion portant sur une série d´étapes qu´on peut schématiser comme suit :
Que protéger et pourquoi ? la réponse doit permettre de faire la liste des biens sensibles de l´entreprise.
De quoi les protéger ? La réponse consiste à établir la liste des menaces potentielles
Quels sont les risques ? En d´autres termes, quelle est la probabilité pour qu´une menace se réalise et quel impact (quantifié), elle a sur le fonctionnement de l´entreprise et la réalisation de ses objectifs ?
Comment protéger l´entreprise ?
Ceci permet d´établir la liste des contre mesures à mettre en ?uvre. C´est le domaine couvert par la norme ISO 17799.
Le référentiel international ISO 17799 ne traite pas du QUOI. Il recommande qu´une démarche méthodique soit entreprise en ce sens avant de traiter du COMMENT.
La norme explicite le fait qu´une bonne Politique de Sécurité doit dans un premier temps déterminer les besoins de protection du patrimoine informationnel sensible et ensuite y répondre par un niveau de sécurité approprié.
Dans cet esprit, la norme couvre tous les domaines qui participent à la sécurité, c´est-à-dire :
Sur le plan organisationnel :
La Politique de Sécurité,
L´organisation de la sécurité,
Le périmètre informationnel sensible,
La politique d´autorisation,
L´exigence de respect des obligations juridiques et contractuelles,
L´auditabilité du système de sécurité.
Sur le plan opérationnel :
La politique à l´égard des personnes (salariés ou externes à l´entreprise),
La sécurisation des locaux,
Le plan de continuité d´activité,
Les méthodes de développement des applicatifs critiques,
La gestion de l´infrastructure de communication et la rationalisation de l´exploitation.