Par Dominique Floquet et Serge Krief

Si elle souhaite gérer efficacement la sécurité informatique, une grande entreprise doit posséder une entité de sécurité indépendante des unités opérationnelles.

La structure de l´entité de sécurité doit comprendre :
- un comité de direction
- un département gérant la sécurité
- un organe de révision mandaté par le comité directeur
- des acteurs sensibilisés (administrateurs, utilisateurs, chef de projet ou de service, responsable)

Le Comité de direction est chargé de :
- de valider la politique de sécurité,

Le département de gestion de la sécurité est chargé de :
- définir le projet de sécurité et le périmètre inhérent à ce dernier,
- définir le budget nécessaire à la gestion de la sécurité (achat de produits, déploiement), contrat de maintenance SLA, TMA,
- suivre l´évolution des risques, des normes de sécurité, des besoins, => cycle de vie de la sécurité,
- d´effectuer les audits lors de l´installation d´un nouvel élément.
Il est responsable du plan de sensibilisation et de formation des utilisateurs (charte de l´utilisateur) à la sécurité de l´entreprise,

L´organe de révision est chargé :
- d´établir un référentiel sur le niveau de sécurité du système d´information, existant dans l´entreprise.
Ce référentiel se fera au moyen d´audits non seulement technique mais aussi général et suivant les cibles. Voici une liste des différents audits :
- audit financier et organisationnel, important pour le DSI
o contrôle l´adéquation de la stratégie informatique, du plan informatique (schéma directeur), et du budget
o analyse des coûts
o dispositions légales
- audit de la sécurité (ce qui nous intéresse),
o contrôles sur l´ensemble des cibles et domaines de sécurité
- audit d´exploitation
o analyse et contrôle l´ensemble des procédures,
- audit des acteurs du système d´information

Les acteurs gérant la sécurité sont :
- les administrateurs sécurité .Ils sont garants de la politique de sécurité, assurent la gestion de la sécurité, gèrent les incidents, déterminent les actions à entreprendre pour limiter les incidents. Ils sont aussi garants de la disponibilité des éléments du système d´information ciblés
- le responsable RH. Dans ce cadre, ils sont chargés de contrôler et de valider l´engagement des nouveaux collaborateurs internes et externes et de leur transmettre les procédures de sécurité de l´entreprise
- les chefs de service : Ils valident un plan de contingence et vérifient que les procédures de la politique de sécurité (plan d´actions) soient appliquées.
- Les utilisateurs : Il sont les maillons faibles de l´architecture de sécurité et doivent s´engager à respecter les règles définies par la politique de sécurité et à ne divulguer aucune information confidentielle de l´entreprise. Ils ne doivent utiliser que les outils mis à leur disposition par l´entreprise.

En conclusion, nous pouvons dire que la sécurité est, bien sûr, l´affaire de tous et toutes quelques soient la fonction ou la position hiérarchique dans l´entreprise.



Autres News PMSI

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143933
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI