MODELE D'ORGANISATION DE LA SECURITE 1

L'évolution croissante des menaces internes/externes qui pèsent sur les biens sensibles d'une société (informations, services, équipements,...) nous impose à définir des moyens organisationnels et techniques pour garantir la sécurité de ces biens.

La question qui se pose alors est : comment organiser ces moyens ?

Une réponse possible passe par la définition d'un ensemble de processus qui assure la sécurité de ces biens. Même s'il n'est pas trivial de décrire cet ensemble de processus, il est encore plus complexe d'organiser la cohérence entre eux.

Organiser c'est aussi proposer des « contre- mesures » qui visent à diminuer les risques sur les biens. Une liste possible d'action pourrait être :

  • définir l'ensemble des processus qui assure la sécurité des biens,
  • définir les rôles (qui fait quoi, quand et comment ?) et responsabilités des équipes en charge de la sécurité des biens,
  • assurer une cohérence d'ensemble entre les processus mais aussi entre les acteurs sécurité,
  • améliorer les processus définis dans le modèle d'organisation,
  • expliquer concrètement aux directions informatiques les risques couverts par cette organisation,
  • augmenter la capacité de réactions face aux incidents ou problèmes de sécurité,
  • corriger et améliorer la protection des biens.

Nous voyons une nouvelle fois avec cette liste (non exhaustive) la complexité des mesures de sécurité à déployer.

Pour tenter de résoudre cette complexité d'organiser la sécurité au sein d'une entreprise, nous utiliserons « un modèle formel ».

Ce modèle est basé sur une extrapolation des exigences sécurité décrites dans la norme ISO 27001-2005.

A demain pour la description du modèle.

articles liés :
 
Nicolas Jacquey
Stéphane Sciacco

_