La sécurité, affaire de tous ou de spécialistes ?

La sécurité, affaire de tous ou de spécialistes ?

TIRER AVANTAGE DE VOTRE SECURITE

Attentats, menaces, cyberattaques... Les discours anxiogènes ne manquent pas pour justifier toujours plus de sécurité. Mais au fait, pourquoi fait-on de la sécurité ?
Chez Genwin, nous considérons qu'il est temps pour la Gouvernance de redonner du sens à nos actions et de rétablir deux idées :

La sécurité est bien un moyen et non une finalité
Elle doit être au service des Métiers et de la stratégie générale, en soutenant les activités opérationnelles et en comprenant les enjeux de l'organisation

La sécurité est une question d'humains avant d'être technique

Si investir dans des outils techniques est nécessaire, vos utilisateurs resteront toujours en première ligne face aux risques. A vous de choisir s'y seront des remparts ou des vecteurs de compromission.

La Gouvernance de la Sécurité de l'Information ne signifie pas gérer. C'est anticiper, accompagner et comprendre pour rester libre d'agir en toute circnstance.

Les clefs du succès

Si protéger son information sensible et stratégique ne garantit en rien à une organisation d'être à l'abri des incidents, sa capacité de résilience, elle, ne saurait pas s'en passer. On ne rebondit pas sans y être préparer.

Nous considérons qu'une sécurité de l'information efficace n'est pas forcément celle qui coûte la plus chère mais celle qui est la plus partagée et intégrée, reposant sur des exigences pertientes, non rigides et immuables, pour créer des mesures qui ont du sens pour l'organisation et adaptés au contexte. Alors quelles sont les déterminants à une bonne sécurité de l'information ?
Engagement de la Direction 95%
skillbar
Bons réflexes des utilisateurs 80%
skillbar
Règles comprises 50%
skillbar
Moyens techniques et humains 30%
skillbar

NOS DOMAINES D'EXPERTISE

Il est deux approches pour gérer la sécurité de l’information: soit par la technique soit par la gouvernance. Et si l’on créait le lien entre les deux…

La mise en place d’un cadre de référence s’exprime par la formalisation des principes qui définissent les règles de sécurité de l’information. Il s’agit de définir la politique SSI, les directives associées et d’outiller les processus pour s’assurer de disposer des moyens de ses ambitions

CADRE DE REFERENCE

La mise en place d’un cadre de référence s’exprime par la formalisation des principes qui définissent les règles de sécurité de l’information. Il s’agit de définir la politique SSI, les directives associées et d’outiller les processus pour s’assurer de disposer des moyens de ses ambitions

La gestion de la SSI par la gouvernance nécessite de mettre en place les bonnes instances de pilotage, qui soient capables à la fois d’aligner la stratégie SSI à la stratégie globale, mais aussi de disposer d’informations pertinentes pour améliorer la maturité de son système de management de la sécurité de l’information. Le choix d’indicateurs ou de vecteurs de reporting est pertinent

PILOTAGE ET REPORTING

La gestion de la SSI par la gouvernance nécessite de mettre en place les bonnes instances de pilotage, qui soient capables à la fois d’aligner la stratégie SSI à la stratégie globale, mais aussi de disposer d’informations pertinentes pour améliorer la maturité de son système de management de la sécurité de l’information. Le choix d’indicateurs ou de vecteurs de reporting est pertinent

Dans une vision d’amélioration continue, il est important de pouvoir évaluer le niveau de maturité de la sécurité de l’information ou de sa surface d’exposition à tout moment. Mettre en place des points de contrôle et auditer peuvent s’avérer être un moyen efficace de détecter les non-conformités. La définition des mesures correctives et de campagnes de sensibilisation sont des réponses nécessaires

AUDIT ET SENSIBILISATION

Dans une vision d’amélioration continue, il est important de pouvoir évaluer le niveau de maturité de la sécurité de l’information ou de sa surface d’exposition à tout moment. Mettre en place des points de contrôle et auditer peuvent s’avérer être un moyen efficace de détecter les non-conformités. La définition des mesures correctives et de campagnes de sensibilisation sont des réponses nécessaires

REDACTION DE LA PSSI

La Politique de Sécurité du Système d’Information reflète la stratégie de l’entreprise en matière de SSI. Pour soutenir l’activité, elle s’aligne sur les choix stratégiques globaux de l’organisation

MISE EN PLACE D’UN SMSI

Un Système de Management de la Sécurité de l’Information est un cadre global de la gestion de la SSI. Il inclut la formalisation d’un cadre de référence (politiques et directives) et ses mises en œuvre opérationnelle, portées par une approche constante d’amélioration continue (PDCA)

MISE EN PLACE DE LA GOUVERNANCE SSI

La gouvernance représente les instances de pilotage et de décision de l’organisation. Il est essentiel de bien savoir identifier les membres, la fréquence de réunion et les pouvoirs pour être capable de réagir aux messages portés

DEPLOIEMENT D’UN TABLEAU DE BORD SSI

La création d’un tableau de bord est une tâche bien plus ardue qu’elle n’y paraît. A travers cet outil les équipes SSI doivent être capables de faire passer les bons messages et de faire transparaître simplement l’état actuel de la sécurité de l’information

REALISATION DE CAMPAGNES DE SENSIBILISATION

Plus de 80% des incidents de sécurité proviennent de l’exploitation de failles humaines. Il va sans dire qu’un personnel bien sensibilisé et ayant acquis les bons réflexes est un moyen puissant de se prémunir face aux menaces

REALISATION D’AUDIT CIBLES DES PROCESSUS

S’il est difficile de maîtriser l’ensemble des domaines techniques ou d’avoir une visibilité fine des pratiques réelles dans l’entreprise, le recours aux audits ponctuels et ciblés permet d’identifier les carences par rapport à votre niveau d’exigence et d’obtenir des recommandations d’amélioration