Stratégie de Sécurité des Systèmes d`Information et de

Belkacem KECHICHEB
Introduction
Dans un monde sans frontières, un monde d’échange et de partage
d’information, la question de sécurité et de protection des données devient de
plus en plus complexe.
Le capital informationnel des entreprises et des institutions est au centre des
préoccupations des spécialistes, sa protection demeure une priorité absolue.
Que faire ? Comment le faire ? Quand le faire ? Qui le fait ?
Autant de questions sur lesquelles nous essayons de répondre à travers notre
intervention,
Stratégie de sécurité
Une stratégie de sécurité est une vision cohérente en terme de protection des données
sensibles.
Trois questions majeures se posent;
-
Que doit-on protéger?
-
-
Les biens sensibles
Les données stratégiques
Le capital informationnel
Pourquoi doit-on le faire?
-
-
Question de survie de l’organisation
La concurrence
La confidentialité
Comment doit-on le faire?
-
Les moyens humains et matériels
Les coûts
Que doit-on protéger?
Question ouverte à l’ensemble des personnes présentes
D’après vous que doit-on protéger au
sein d’une organisation?
Que doit-on protéger?
- Mon système d’information?
- Quel est le périmètre?
- L’interaction avec l’environnement extérieur
- L’information sensibles?
- Comment la définir?
- Comment la qualifier?
- Comment la surveiller?
- Exigences clients/Fournisseurs
- Manipulation de l’information sensible par le client ou le fournisseur
- Intervention des clients/fournisseurs au sein de son système d’information
- Sous-traitance, Collaboration, etc.
Pourquoi doit-on le faire?
Question ouverte à l’ensemble des personnes présentes
D’après vous pourquoi doit-on se
protéger au sein d’une organisation?
Pourquoi doit-on le faire?
- Question de survie de l’organisation!
- Risque important de perte de clients, d’activité, de confiance, etc.
-
-
L’information est capitale, sa valeur est inestimable!
La maîtrise de l’information est souvent le secret de réussite des entreprises,
La discrétion serait la base de toute réussite
ْ‫الكِت َمانُ ْسِ رُّ ْال َّن َجاح‬
C’est une obligation légale envers:
- Votre organisation,
- Vos clients et fournisseurs
- Vos employés.
La concurrence (Le monde de Bisounours n’existe pas)
Comment doit-on le faire?
Question ouverte à l’ensemble des personnes présentes
D’après vous, comment doit-on se
protéger au sein d’une organisation?
Comment doit-on le faire?
Moyens humains
- Management,
- Ressources Internes
- Ressources Externes
Moyens matériels
- Trouver les budgets,
- Identifier le matériel adéquat,
- Trouver le bon fournisseur.
Les bonnes questions
Que faire ?
• Comment le faire ?
• Quand le faire ?
• Qui le fait ?
« Toute la réflexion autour de ces questions doit se faire en groupe et
jamais seul dans son coin»
Comment se protéger?
• Protéger l’essentiel de votre capital informationnel,
• Résultat d’une étude ou d’une analyse des risques.
• Mettre en place des solutions reconnues et pérennes,
• Allouer les ressources qualifiées,
• La protection «la sécurité» est le problème de tous,
• La sécurité est un exercice en continu et doit être reconnue comme
une activité à part entière!
• Pas de date de fin…
Comment agir?
N’attendez pas la survenance d’un incident grave pour agir!
Dans un schéma classique:
- L’employer doit alerter!
- Le responsable doit traiter et remonter l’information,
- Le Management doit prendre des décisions.
Mais logiquement tout le monde est concerné et doit agir en bon père de
famille.
Quelle tactique de sécurité suivre
En fonction du contexte et de l’activité de l’entreprise, les approches et
tactiques peuvent varier!
Les experts recommandent l’approche systémique…
Dans d’autres termes, la mise en place d’un système de
gestionproprement dit, relatif à la taille et l’activité de l’entreprise.
Où faut-il concentrer ces efforts?
Identifier les menaces,
Trouver les vulnérabilités,
Évaluer l’impact.
Quelles actions entreprendre?
Commencer par colmater les petites brèches?
Ou s’attaquer aux gros problèmes? Aux grosses failles?
Contexte de priorisation…
C’est la priorisation qui définie clairement par quoi commencer!
N’oublier jamais le facteur coût!
C’est généralement un facteur important qui risque d’influencer la
décision au niveau du management.
« Best practices » en matière de sécurité des
systèmes d’information et de communication
Standards internationaux (ISO, COBIT, ITIL, etc.)
SMSI « Système de Management de la Sécurité de l’Information »
Qualité, Sécurité et Amélioration continue.
Conclusion
Il est ‘encore’ temps d’agir… par quoi commencer ?
1. Feuille de route,
2. Approche standardisée,
3. Aller en douceur… Attention aux changement brutaux!
Merci pour votre attention
Belkacem KECHICHEB
Senior Consultant & Information Security Expert, Open Field SA [Luxembourg]
Managing Director, GP-CIM Consulting [France]
Mobile-LU: +352 691 250 632
Mobile-FR: +33 610 832 229
[email protected]
[email protected]