Présentation
Auteur(s)
-
Jean-Marc CHARTRES : Ingénieur CNAM - Consultant Sécurité chez TELINDUS France
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.
L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.
La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
Présentation
Intégrer la menace comme variable du systèmeArticle inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
4. Partir de ses craintes pour protéger l’essentiel
4.1 Focaliser sur les objectifs du contrôle interne de l’entreprise
L’informatique contribue aux métiers de l’entreprise, et la sécurité de l’information doit répondre à l’exigence de qualité et de sûreté nécessaire aux métiers. Il faut parvenir à établir un indicateur de sécurité qui soit relié à l’impact évité (figure 4) ; alors, la sécurité sera lisible et gérée comme un facteur de performance. En effet, si l’entreprise ne connaît aucun impact « métier » induit par l’informatique, elle peut croire que le résultat serait le même sans sécurité et qu’il serait bon de moins investir dans des choses, qui somme toute sont contraignantes.
HAUT DE PAGE4.2 Établir la dépendance des services informatiques
Se fixer comme objectif d’appliquer des règles de sécurité par impact redouté au sens du contrôle interne est une bonne règle de cohérence et d’efficience.
Le processus de sécurité ne doit pas être cantonné à l’informatique ; il agit bien sûr pour contenir les risques informatiques, mais surtout pour éviter des impacts graves pour l’entreprise.
La menace existe, mais l’impact éventuel est maîtrisé par le risque résiduel.
De l’analyse de risque initiale au tableau de bord final, nous devons établir un indicateur de sécurité qui traduise la fonction du processus de sécurité sur les menaces potentielles.
HAUT DE PAGE4.3 Inventaire classifié des périmètres fonctionnels
Nous allons conserver cette approche pour repérer les périmètres fonctionnels de risque, en leur fixant une classification en fonction des impacts redoutés. Le périmètre fonctionnel peut être une activité « métier » (par exemple la recherche et le développement), ou un service IT comme la messagerie. Il faut établir des périmètres fonctionnels qui représentent la même exigence de sécurité...
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Partir de ses craintes pour protéger l’essentiel
Article inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
DANS NOS BASES DOCUMENTAIRES
ANNEXES
EBIOS – Logiciel d’analyse de risques
EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité
CLUSIF | MEHARI
MEHARI une méthode complète d'évaluation et de management des risques liés à… est réalisée selon les dispositions du logiciel libre (Open Source)
http://www.clusif.asso.fr/fr/production/mehari/
HAUT DE PAGE
CLUSIF – Club de la Sécurité de l'Information Français
...
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
