Adequate Learning; Une Autre Vision de la Formation
Adequate Learning; Une Autre Vision de la Formation

Définir un programme de sécurité de l'information

Un programme de sécurité de l’information comporte un ensemble d’activités, de projets et d’initiatives à mettre en place, de façon coordonnée, afin de répondre aux objectifs d’affaires et à la stratégie de sécurité de l’information de l’entreprise. 

Voici donc les grandes lignes des étapes à suivre afin définir un programme de sécurité de l’information.

Initialement, il est nécessaire de déterminer les résultats de sécurité attendus pour soutenir les affaires de l’entreprise qui peuvent se traduire par la définition des objectifs de sécurité ou l’état désiré au niveau de la sécurité.

Ensuite, il est nécessaire de connaitre l’état de situation actuelle au niveau de la sécurité de l’information. Ainsi, une évaluation de risques jumelée à une évaluation des impacts d’affaires ou des audits de sécurité permettent de connaitre l’état actuel de sécurité.

Par la suite, une analyse d’écarts (« Gap Analysis ») procure la différence entre l’état actuel et l’état désiré et elle facilite le développement d’une stratégie de sécurité visant à atteindre l’état désiré. Une feuille de route peut être produite afin de faciliter le développement du programme de sécurité permettant de réaliser la stratégie. Celle-ci inclut généralement les personnes, les processus, les technologies et autres ressources requises. Elle sert à décrire le chemin à suivre et les étapes qui devraient être prises afin d’atteindre la stratégie. L’étape suivante consiste gérer de façon efficace le programme de sécurité afin d’atteindre les objectifs et de rencontrer les résultats attendus


Le programme de sécurité vise à fournir un niveau approprié sur la disponibilité, l’intégrité et la confidentialité de l’information de l’entreprise. Ce programme requiert l’implication de diverses ressources, mais l’engagement ainsi que le support formel de la direction de l’organisation s’avère une nécessité.

Voici certains éléments clés qui devraient faire partie d’un programme de sécurité :

  • Des politiques, standards, procédures et guides de sécurité s’avèrent être des outils principaux pour guider l’implantation et la gestion d’un tel programme.  Ceux-ci peuvent être basés sur des référentiels reconnus, tels que Cobit, ISO 27002, ITIL, etc.
  • Une architecture de sécurité (incluant les personnes, les processus et la technologie) afin de fournir un cadre de référence permettant de gérer efficacement la complexité que peut représenter l’intégration de divers éléments et projets de sécurité.
  • Une classification des actifs informationnels permettant de ressortir leur criticité et sensibilité;
  • Un processus de gestion des risques approprié qui comprend l’identification, l’évaluation, le traitement des risques ainsi qu’une évaluation des impacts d’affaires (BIA- « Business Impact Analysis »);
  • Une réponse efficace aux incidents et situation d’urgence;
  • Un programme de sensibilisation et de formation à la sécurité de l’information pour l’ensemble des utilisateurs;
  • L’implication d’une équipe de sécurité dans le processus de développement (SDLC- « Software Life-Cycle Developpment ») de projets, ainsi qu’avec la gestion du changement;
  • La définition et le suivi de métriques permettant d’évaluer l’atteinte des objectifs de sécurité.

Le tout, en ayant une assignation claire des rôles et responsabilité en lien avec la sécurité.

Il est à noter que la sensibilisation et la formation à la sécurité de l’information demeurent des éléments vitaux dans la stratégie, car souvent la faiblesse dans la sécurité se situe au niveau des utilisateurs. Il est donc essentiel que ces derniers connaissent et comprennent les politiques, standards ainsi que les procédures afin qu’ils adoptent des pratiques sécuritaires et qu’ils soient vigilants face aux différentes menaces.

Un programme de sensibilisation est maintenant requis par diverses lois et règlementations. Toutefois, encore dans plusieurs organisations, des évidences portent à croire que le personnel n’est pas suffisamment sensibilisé. Différentes études ont démontré que la formation et sensibilisation à la sécurité procure un contrôle des plus efficace dans l’amélioration de la sécurité en général. 

Voir l’article suivant de l’ISACA sur le programme de sécurité :

http://www.isaca.org/Journal/Past-Issues/2009/Volume-5/Pages/JOnline-Information-Security-Program-Establishing-It-the-Right-Way-for-Continued-Success.aspx

Pour découvrir les solutions de sensibilisation à la sécurité de l’information offertes par Formation Terranova, veuillez cliquer sur ce lien :

http://www.tnawareness.com/fr/securite-information


Version imprimable Version imprimable | Plan du site Recommander ce site Recommander ce site
© 2014. Copyright Adequate Learning