19 Nov Sécurité 101

Posted at 11:12h in Non classifié(e) by
0 Likes

On a souvent l’impression que la sécurité informatique n’a pas de fin, qu’il manque toujours quelque chose…

Mais est-ce vraiment le cas ? Tout d’abord, il faut comprendre quels sont ses objectifs :

  • Authentification : Les usagers doivent être autoriser avant d’accéder aux informations
  • Confidentialité : Les utilisateurs ne peuvent avoir accès informations qui leur sont destinés
  • Intégrité : Les données doivent être celles qui sont attendues. Elles doivent être intègres et complètes
  • Disponibilité : Les informations, les applications et les données doivent être accessibles rapidement et en tout temps

Quelles sont les menaces potentielles, sur quelles données / départements / fonctions et quels sont les impacts en cas de défaillance mineure et majeurs sur l’atteinte de ces objectifs. Il existe différentes méthodes d’évaluation et nous vous en proposons une ici, assez simple, en 8 étapes :

  1. Identification des actifs : Matériel, logiciel, physique, humain, documentaire, données
  2. Identification des responsables : La sécurité est une responsabilité partagée dans votre entreprise, mais une personne doit la prendre en charge et en être imputable
  3. Identification des risques : Quels sont les points faibles de chacun de vos éléments d’actifs
  4. Identification des menaces : Directes ou indirectes, prévisibles ou imprévisibles
  5. Identification des conséquences : Pour chaque élément d’actif, vous devez mesurer les conséquences à court, moyen et long terme si la confidentialité, la disponibilité ou l’intégrité sont affectées
  6. Identification des dommages : Il existe quatre types de dommages, soit financiers, réputationnels, réglementaires ou écologiques
  7. Évaluation de la vraisemblance : La note que vous donnez pour chaque élément d’évaluation sera directement influencé par les mesures déjà en place. Par exemple, votre confidentialité à moins de risque d’être compromise si vos données sont déjà cryptées
  8. Estimer le niveau de risque : La note finale doit refléter le niveau de risque réel en tenant compte de l’ensemble des éléments ci-dessus.

 

L’étape suivante consiste à déterminer comment vous allez traiter le risque, soit :

  • Accepter le risque : Le risque est acceptable et l’entreprise en assume les impacts et réagira au besoin plutôt que d’agir de façon préventive
  • Éviter le risque : Les conséquences sont trop importantes et des mesures doivent être mises en place
  • Transférer le risque : Donner à un tier la responsabilité de gérer le risque avec les solutions appropriées
  • Réduire le risque : Mettre des mesures en place afin de réduire le risque à un niveau acceptable

Une fois ces choix faits, vous devrez évaluer les risques résiduels qui persisteront après que l’ensemble des mesures de sécurité auront été mises en place et déterminer si des mesures additionnelles doivent être ajoutées pour rendre les risques acceptables. Cette étape complétée, vous avez maintenant en main votre politique de sécurité des systèmes d’information.  Vous êtes désormais en mesure de rechercher et de sélectionner les solutions appropriées.

Lorsque vous procéder à cette analyse, n’hésitez pas à vous faire assister par des professionnels. Vous serez ainsi assuré d’avoir une vision à 360 degrés qui vous permettra de prendre des décisions éclairées.

 

Crédit photo : Kanan Khasmammadov sur Unsplash

No Comments

Post A Comment