Architecture, analyse de risque, mise en place d’une PSSI, conseil et accompagnement des RSSI, mise en place d’un plan de continuité d’activité et d’un plan de reprise d’activité (PCA/PRA), etc.
1- Etablissement de la PSSI
La Politique de Sécurité des Systèmes d'Information (PSSI) est l'ensemble formalisé dans un document applicable des directives, procédures, codes de conduite, règles organisationnelles et techniques ayant pour objectif la protection des systèmes d’information de l’organisme.
Elle traduit la reconnaissance officielle de l'importance accordée par la direction générale de l'organisme à la sécurité de ses systèmes d'information. D'une manière générale, elle contient une partie relative aux éléments stratégiques de l'organisme (périmètre, contexte, enjeux, orientations stratégiques en matière de SSI, référentiel réglementaire, échelle de sensibilité, besoins de sécurité, menaces) et une partie relative aux règles de sécurité applicables. Elle constitue donc une traduction concrète de la stratégie de sécurité de l’organisme.
L’élaboration de la PSSI repose sur différents principes :
- La sensibilisation.
- La responsabilité.
- La réaction.
- L’évaluation des risques.
- La conception et la mise en oeuvre de la sécurité.
- La gestion de la sécurité.
- La réévaluation des risques
Par ailleurs les différents éléments à prendre en compte dans une PSSI sont listés dans un référentiel de principes de sécurité. Son contenu dépend évidemment du contexte client mais l'ensemble des règles qui composent une politique de sécurité doit au minimum porter sur les thèmes suivants :
- L'organisation mise en place pour la sécurité de l'information au sein de l'entreprise ou de l'organisme (notamment désignation du responsable mais aussi définition des structures).
- La gestion de l'information (notamment quel système de classification est adopté au sein de l'entreprise ou de l'organisme ?).
- La gestion des biens (comprenant le matériel informatique mais aussi les locaux).
- La gestion du personnel (notamment les règles d'affectation du personnel et la formation à la sécurité de l'information).
- La gestion du système d'information (allant du développement aux règles d'exploitation des systèmes).
La méthodologie DSC développée pour établir une PSSI offre plusieurs avantages :
- L'élaboration de la PSSI est facilitée par une démarche structurée qui permet en outre de déduire en les justifiant une partie des principes et des règles retenus dans la PSSI.
- L’exploitation des résultats de l’étude associée à d’autres éléments d’entrée, permettant d'obtenir l'ensemble des éléments stratégiques, de choisir les principes et d'élaborer les règles de sécurité.
- - Les différents acteurs du SI (décideurs, responsables SSI, maîtrise d'oeuvre, maîtrise d'ouvrage, acteurs financiers, utilisateurs…) sont déjà sensibilisés à la SSI, notamment aux risques SSI et au fait que la sécurité organisationnelle constitue une part importante de la sécurité globale.
2- Assistance RSSI, RSI
DSC accompagne ses clients en proposant à temps plein ou à temps partiel une expertise sécurité sur site. L’assistant RSSI, RSI a généralement les fonctions suivantes :
- Élaborer des documents de pilotage, procédures et outils de communication (rapport, compte-rendu de réunion,…).
- Intervenir en conseil sur les projets, des analyses de besoins ou sur incident.
- Fédérer chacun autour des objectifs de sécurité de l'entreprise, mesurer le niveau de sécurité réel et l'efficacité des mesures mises en place.
- Améliorer l’efficacité des actions de prévention et de réduction des risques.
- Mettre à jour et maintenir les orientations stratégiques en termes de sécurité du système d’information.
- Garantir et maintenir les principes de gouvernance et le cadre sécuritaire de référence. L’objectif étant d’amener l’entreprise dans un cycle vertueux d’amélioration continue où l’organisation va planifier ses actions, les mettre en oeuvre, contrôler leur mise en place adéquate et corriger le cas échéant les écarts constatés.
- Les différents acteurs du SI (décideurs, responsables SSI, maîtrise d'oeuvre, maîtrise d'ouvrage, acteurs financiers, utilisateurs…) sont déjà sensibilisés à la SSI, notamment aux risques SSI et au fait que la sécurité organisationnelle constitue une part importante de la sécurité globale. DSC accompagne ses clients en proposant à temps plein ou à temps partiel une expertise sécurité sur site.
L’assistant RSSI, RSI a généralement les fonctions suivantes :
- Élaborer des documents de pilotage, procédures et outils de communication (rapport, compte-rendu de réunion,…).
- Intervenir en conseil sur les projets, des analyses de besoins ou sur incident.
- Fédérer chacun autour des objectifs de sécurité de l'entreprise, mesurer le niveau de sécurité réel et l'efficacité des mesures mises en place.
- Améliorer l’efficacité des actions de prévention et de réduction des risques.
- Mettre à jour et maintenir les orientations stratégiques en termes de sécurité du système d’information.
- Garantir et maintenir les principes de gouvernance et le cadre sécuritaire de référence. L’objectif étant d’amener l’entreprise dans un cycle vertueux d’amélioration continue où l’organisation va planifier ses actions, les mettre en oeuvre, contrôler leur mise en place adéquate et corriger le cas échéant les écarts constatés.
3- Mise en place d’un PCA/PRA
Un nombre grandissant d’entreprises admettent la nécessité de planifier rigoureusement la continuité des affaires. Si vos activités devaient malencontreusement être interrompues en raison d’une panne technologique, combien vous faudrait-il de temps pour reprendre la bonne marche de vos affaires ?
Certaines entreprises sont dans l’obligation de mettre en place un PRA (Plan de Reprise d'Activités (en anglais DRP : Disaster Recovery Plan)) ou un PCA (Plan de Continuité d’Activité (en anglais BCP : Business Continuity Planning)) :
DSC, vous assiste dans le déploiement du Plan de Reprise d’Activité ou du Plan de Continuité d’Activité, qui correspond aux impératifs de votre entreprise.
4- Schéma Directeur SSI
Le schéma directeur SSI exprime la stratégie (et surtout la tactique) de l'entreprise pour concevoir, construire et planier dans le temps la mise en oeuvre du Système de Management de la Sécurité de l'Information (SMSI).
Mettre en place un schéma directeur de la sécurité des systèmes d'information c'est assurer le pilotage des opérations suivantes :
- Planification de la mise en oeuvre des mesures de sécurité
- Rédaction d'une politique de sécurité
- Définition des rôles : Conception, Réalisation, Contrôle
- Choix des métriques
- Mise en place des outils de suivi et de reporting
- Mise en place de la stratégie de communication et de formation
- Mise en place des outils d'enregistrement des contrôles, actions correctrices, gestion des non conformités.