La sécurité, affaire de tous ou de spécialistes ?

La sécurité, affaire de tous ou de spécialistes ?

TIRER AVANTAGE DE VOTRE SECURITE

Attentats, menaces, cyberattaques... Les discours anxiogènes ne manquent pas pour justifier toujours plus de sécurité. Mais au fait, pourquoi fait-on de la sécurité ?
Chez Genwin, nous considérons qu'il est temps pour la Gouvernance de redonner du sens à nos actions et de rétablir deux idées :

La sécurité est bien un moyen et non une finalité
Elle doit être au service des Métiers et de la stratégie générale, en soutenant les activités opérationnelles et en comprenant les enjeux de l'organisation

La sécurité est une question d'humains avant d'être technique

Si investir dans des outils techniques est nécessaire, vos utilisateurs resteront toujours en première ligne face aux risques. A vous de choisir s'y seront des remparts ou des vecteurs de compromission.

La Gouvernance de la Sécurité de l'Information ne signifie pas gérer. C'est anticiper, accompagner et comprendre pour rester libre d'agir en toute circonstance.

Les clefs du succès

Si protéger son information sensible et stratégique ne garantit en rien à une organisation d'être à l'abri des incidents, sa capacité de résilience, elle, ne saurait pas s'en passer. On ne rebondit pas sans y être préparer.

Nous considérons qu'une sécurité de l'information efficace n'est pas forcément celle qui coûte la plus chère mais celle qui est la plus partagée et intégrée, reposant sur des exigences pertientes, non rigides et immuables, pour créer des mesures qui ont du sens pour l'organisation et adaptés au contexte. Alors quelles sont les déterminants à une bonne sécurité de l'information ?
Engagement de la Direction 95%
skillbar
Bons réflexes des utilisateurs 80%
skillbar
Règles comprises 50%
skillbar
Moyens techniques et humains 30%
skillbar

NOS DOMAINES D'EXPERTISE

Il est deux approches pour gérer la sécurité de l’information: soit par la technique soit par la gouvernance. Et si l’on créait le lien entre les deux…

L'ensemble des domaines de la sécurité ont un point commun : servir les intérêts long-terme de l'organisation. En envisgeant ces domaines comme un continuum et en favorisant les interactions entre eux se crée une dynamique de sécurité globale cohérente. Pour fonctionner, cette approche requiert un appui des décisionnaires et la mise en place d'une organisation de la sécurité intégrant les capacités de chaque domaine et une formalisation claire des référentiels de sécurité.

Penser la stratégie de sécurité de manière systémique

L'ensemble des domaines de la sécurité ont un point commun : servir les intérêts long-terme de l'organisation. En envisgeant ces domaines comme un continuum et en favorisant les interactions entre eux se crée une dynamique de sécurité globale cohérente. Pour fonctionner, cette approche requiert un appui des décisionnaires et la mise en place d'une organisation de la sécurité intégrant les capacités de chaque domaine et une formalisation claire des référentiels de sécurité.

La gestion de la SSI par la gouvernance nécessite de mettre en place les bonnes instances de pilotage, qui soient capables à la fois d’aligner la stratégie SSI à la stratégie globale, mais aussi de disposer d’informations pertinentes pour améliorer la maturité de son système de management de la sécurité de l’information. Le choix d’indicateurs ou de vecteurs de reporting est pertinent pour générer l'information utile aux bonnes décisions.

Piloter la sécurité

La gestion de la SSI par la gouvernance nécessite de mettre en place les bonnes instances de pilotage, qui soient capables à la fois d’aligner la stratégie SSI à la stratégie globale, mais aussi de disposer d’informations pertinentes pour améliorer la maturité de son système de management de la sécurité de l’information. Le choix d’indicateurs ou de vecteurs de reporting est pertinent pour générer l'information utile aux bonnes décisions.

Pour devenir un avantage, la conformité ne doit plus être envisagée comme une contrainte mais comme une source de valeur et d'attractivité. En tant que partie intégrante de la stratégie de sécurité, elle vise à soutenir les ambitions de développement de l'organisation en prouvant à ses parties prenantes (e.g. autorités, partenaires commerciaux) du respect de règles définies et communément admises (e.g. norme, standard, règlement, certification). La conformité est alors source de garantie pour ce tiers et d’uniformisation des pratiques.

Répondre aux enjeux de la conformité

Pour devenir un avantage, la conformité ne doit plus être envisagée comme une contrainte mais comme une source de valeur et d'attractivité. En tant que partie intégrante de la stratégie de sécurité, elle vise à soutenir les ambitions de développement de l'organisation en prouvant à ses parties prenantes (e.g. autorités, partenaires commerciaux) du respect de règles définies et communément admises (e.g. norme, standard, règlement, certification). La conformité est alors source de garantie pour ce tiers et d’uniformisation des pratiques.

Notre ligne de services

Découvrez comment nous pouvons vous accompagner

Définition d'une stratégie transverse de sécurité

Les modes opératoires d'attaque changent pour devenir multidimentionnels, c'est-à-dire utilisant tous les moyens disponibles, matériels, immatériels ou humains, pour arriver à leurs fins. Cette modification comportementale nécessite que les organisations adoptent des stratégies transverses permettant de favoriser la synergie des capacités de sécurité et la communication pour aboutir à une approche globale de la sécurité.

Rédaction des référentiels de sécurité

La PSSI reflète la stratégie de l’entreprise en matière de SSI. Pour soutenir l’activité, elle s’aligne sur les choix stratégiques globaux de l’organisation et doit s'accompagner de processus, de procédures et d'outils opérationnels traduisant les exigences de sécurité en vigueur dans l'organisation.

Gouvernance et pilotage de la SSI

Une bonne gouvernance ne représente pas uniquement une capacité de gestion des activités et des ressources, mais aussi une capacité à agir dans l'incertitude et à s'adapter aux changements. Il devient alors indispensable de savoir s'organiser, planifier, prioriser et ajuster pour être efficient et ne pas tomber dans les contraintes de l'urgence, qui condamneraient la liberté d'action et d'anticipation.

Mutualisation des équipes

La mise à disposition de équipes mutualisées de spécialistes (e.g. RSSI, analystes risques) permet aux organisations non seulement de bénéficier des compétences de ces experts à temps partiel, mais aussi de leurs retours d'expériences et d'approches innovantes, sans en supporter intégralement les coûts.

Mise en place et animation d'un SMSI

Un Système de Management de la Sécurité de l’Information est un cadre global de la gestion de la SSI. Il inclut la formalisation d’un cadre de référence (politiques et directives) et ses mises en œuvre opérationnelles, portées par une approche constante d’amélioration continue (PDCA). Il est un modèle d'organisation reconnu internationnalement et devient aujourd'hui un prérequis aux accords commerciaux avec nombre de grands comptes.

Accompagnement à la certification

Une démarche de certification se planifie et se conçoit suffisamment en amont pour veiller à respecter les exigences attendues. Des ajustements opérationnels peuvent être nécessaires et un entraînement du personnel à l'exercice de l'audit s'avère toujours bénéfique.