Par Gérard Attal PDG d´Amacom

L´approche générale de la stratégie de sécurité d´une entreprise consiste à répondre avec pertinence à deux questions : QUOI ? COMMENT ?

La réponse au QUOI

Elle relève d´une réflexion portant sur une série d´étapes qu´on peut schématiser comme suit :

 Que protéger et pourquoi ? la réponse doit permettre de faire la liste des biens sensibles de l´entreprise.

 De quoi les protéger ? La réponse consiste à établir la liste des menaces potentielles

 Quels sont les risques ? En d´autres termes, quelle est la probabilité pour qu´une menace se réalise et quel impact (quantifié), elle a sur le fonctionnement de l´entreprise et la réalisation de ses objectifs ?

Comment protéger l´entreprise ?

Ceci permet d´établir la liste des contre mesures à mettre en ?uvre. C´est le domaine couvert par la norme ISO 17799.

Le référentiel international ISO 17799 ne traite pas du QUOI. Il recommande qu´une démarche méthodique soit entreprise en ce sens avant de traiter du COMMENT.

La norme explicite le fait qu´une bonne Politique de Sécurité doit dans un premier temps déterminer les besoins de protection du patrimoine informationnel sensible et ensuite y répondre par un niveau de sécurité approprié.

Dans cet esprit, la norme couvre tous les domaines qui participent à la sécurité, c´est-à-dire :

Sur le plan organisationnel :

 La Politique de Sécurité,
 L´organisation de la sécurité,
 Le périmètre informationnel sensible,
 La politique d´autorisation,
 L´exigence de respect des obligations juridiques et contractuelles,
 L´auditabilité du système de sécurité.

Sur le plan opérationnel :

 La politique à l´égard des personnes (salariés ou externes à l´entreprise),
 La sécurisation des locaux,
 Le plan de continuité d´activité,
 Les méthodes de développement des applicatifs critiques,
 La gestion de l´infrastructure de communication et la rationalisation de l´exploitation.



Autres News PMSI

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143933
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI