MANAGEMENT SI 
Point de vue : Optimisation de la politique de sécurité 
Septembre 2014
MANAGEMENT SI 
Bureau de Paris et siège social 
Pavillon Bourdan 
11-13 avenue du Recteur Poincaré • 75016 Paris 
Tél. : +...
MANAGEMENT SI 
3 
Copyright Beijaflore Group 
Des questions et objections récurrentes révélatrices d’un dysfonctionnement ...
MANAGEMENT SI 
4 
Copyright Beijaflore Group 
7 enjeux majeurs sont rattachés à un corpus documentaire sécurité performant...
MANAGEMENT SI 
5 
Copyright Beijaflore Group 
Limite d’opposabilité du corpus 
•Documents thématiques sur les exigences de...
MANAGEMENT SI 
6 
Copyright Beijaflore Group 
Attentes 
métiers 
Arbitrages 
SSI 
Besoins 
exprimés par les métiers 
Risqu...
MANAGEMENT SI 
7 
Copyright Beijaflore Group 
Formaliser et arbitrer le besoin 
Cadrer la production du document grâce à l...
MANAGEMENT SI 
8 
Copyright Beijaflore Group 
Garantir la continuité dans le changement 
Documents et exigences 
de sécuri...
MANAGEMENT SI 
9 
Copyright Beijaflore Group 
•Explication de la stratégie et des enjeux de l'entreprise couverts par la p...
MANAGEMENT SI 
10 
Copyright Beijaflore Group 
Focus sur la production et la validation d’un document 
Groupe Corpus : gro...
MANAGEMENT SI 
11 
Copyright Beijaflore Group 
Notre conviction : Favoriser le traitement complet des thématiques pour fou...
Copyright Beijaflore Group MANAGEMENT SI 12 
La rédaction des standards de sécurité doit reposer sur les sachants 
opérati...
MANAGEMENT SI 
13 
Copyright Beijaflore Group 
En synthèse : Nos convictions en matière de politique de sécurité 
Soutien ...
Prochain SlideShare
Chargement dans…5
×

Point de vue beijaflore politique sécurité

1 261 vues

Publié le

Quelles règles de sécurité ? quelles exigences appliquer ? comment organiser la politique de sécurité et ses standards d'application ?

Publié dans : Ingénierie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 261
Sur SlideShare
0
Issues des intégrations
0
Intégrations
70
Actions
Partages
0
Téléchargements
37
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Point de vue beijaflore politique sécurité

  1. 1. MANAGEMENT SI Point de vue : Optimisation de la politique de sécurité Septembre 2014
  2. 2. MANAGEMENT SI Bureau de Paris et siège social Pavillon Bourdan 11-13 avenue du Recteur Poincaré • 75016 Paris Tél. : +33 1 44 30 90 00 conseilsi@beijaflore.com Maxime de Jabrun Vice President, Head of Cyber Risk&Security 11-13 avenue du Recteur Poincaré 75016 Paris Tél. : +33 1 44 30 91 95 mdejabrun410@beijaflore.com www.beijaflore.com • http://blogrisqueetsecurite.beijaflore.com
  3. 3. MANAGEMENT SI 3 Copyright Beijaflore Group Des questions et objections récurrentes révélatrices d’un dysfonctionnement du corpus documentaire sécurité Je souhaite devenir administrateur de mon poste, est-ce possible ? Quelle est la position de la sécurité sur le sujet Y ? Le document A et le document B sont contradictoires, quelle est la bonne version ? Mon métier veut déployer la nouvelle tablette X, mais la sécurité ne s’est pas encore positionnée sur son utilisation, que faire ? Où puis-je trouver une information à jour ? Quelles exigences de sécurité me sont applicables ? Comment montrer au régulateur que nous intégrons ces exigences sur la confidentialité des données ? Les documents sont trop complexes Je ne sais pas comment mettre en oeuvre les exigences de sécurité qui me sont imposées Les exigences de sécurité sont trop contraignantes pour mon métier
  4. 4. MANAGEMENT SI 4 Copyright Beijaflore Group 7 enjeux majeurs sont rattachés à un corpus documentaire sécurité performant Assurer l’alignement des exigences de sécurité à la stratégie de l’entreprise et homogénéiser les exigences de sécurité applicables à tous Améliorer la lisibilité des exigences sécurité, la recherche et l’accès à l’information et garantir cohérence d’ensemble des documents Améliorer l’agilité du corpus de règles sécurité Démontrer le respect des exigences réglementaires Faciliter l’appropriation des règles par les métiers Garantir la couverture des risques transverses majeurs de l’entreprise Simplifier la transposition opérationnelle des règles et leur applicabilité Performance du corpus documentaire sécurité
  5. 5. MANAGEMENT SI 5 Copyright Beijaflore Group Limite d’opposabilité du corpus •Documents thématiques sur les exigences de sécurité (2 à 3 ans) •Validation par la filière SSI et les acteurs impactés par la thématique •Objectifs spécifiques, rôle et responsabilités, modèle organisationnel •Documents fondateur du corpus documentaire sécurité (3 à 5 ans) •Validation par l’executif de l’entreprise •Enjeux, stratégie SSI, objectifs globaux, rôle et responsabilités •Documents sur les exigences de sécurité portant sur les modalités / moyens d’atteinte des objectifs (1 à 1,5 ans) •Validation par la filière SSI et les acteurs impactés du périmètre •En lien avec les technologies et l’oganisation courante (implémentation locale du modèle organisationnel) •Document d’aide et d’accompagnement (durée de vie variable) •Collection de bonnes pratiques pouvant être mises en oeuvre // PSSI et note de gouvernance // Guides // Politiques thématiques // Standards de sécurité Notre conviction : Structurer le corpus documentaire en strates pour répondre aux besoins variables de pérennité des documents et de granularité des informations fournies
  6. 6. MANAGEMENT SI 6 Copyright Beijaflore Group Attentes métiers Arbitrages SSI Besoins exprimés par les métiers Risques portés par l’entreprise Classement thématique Notre conviction : un document de politique doit répondre aux besoins de couverture des risques de l’entreprise et des métiers
  7. 7. MANAGEMENT SI 7 Copyright Beijaflore Group Formaliser et arbitrer le besoin Cadrer la production du document grâce à la fiche de cadrage Produire et vérifier l’applicabilité par le sachant technique Valider et approuver par les métiers Publier et communiquer Maintenir le document 5 4 1 3 2 6 Notre conviction : un processus collaboratif de gestion du corpus documentaire pour assurer l’adhésion des métiers et son applicabilité
  8. 8. MANAGEMENT SI 8 Copyright Beijaflore Group Garantir la continuité dans le changement Documents et exigences de sécurité existants Risques, plan de contrôles, exigences réglementaires, juridiques Documents opérationnels Capitaliser sur les réalisations SSI tierces Garantir l’applicabilité des exigences Documents d’autres métiers et best practices du marché Procédure de sécurité du métier 1 Procédure de sécurité du métier 2 Norme du métier 1 Norme du métier 1 Politique du métier 1 Politique du métier 2 Exigences réglementaires du métier 1 Exigences réglementaires du métier 2 Stratégie de l’entreprise Politique de gestion des risques Exigences juridiques Exigences réglementaires Plan de contrôle PSSI existantes FAQ existantes Prise de position e-mail Procédures opérationnelles Guides de durcissement Manuels fournisseurs Intégrer les stratégies des autres filières Notre conviction : Capitaliser sur les documents et best practices existants afin d’accélérer la production et d’assurer la transition avec les « legacy »
  9. 9. MANAGEMENT SI 9 Copyright Beijaflore Group •Explication de la stratégie et des enjeux de l'entreprise couverts par la politique •très courte (une page maximum) •destinée principalement au top management •Description de l’ensemble des règles de la politique •plus longue (dix pages maximum) •doit être pragmatique et alignée sur les métiers de l’entreprise •sert de guide pour être déclinée de manière opérationnelle par l’ensemble des métiers de l’entreprise Lectorat cible et périmètre d’applicabilité Informations de publication Les données « pratiques » Table des matière en première page Donne la structure du document Executive summary Permet de rapidement connaître le contenu d’un document Titre encadré Premier élément visible de la page Bonne pratique Logotypage des exigences Augmente la visibilité des exigences dans le document Summary Permet de rapidement connaître les concepts clefs d’un paragraphe Marge importante Permet au lecteur de prendre des notes // chaque politique doit être déclinée en deux parties Notre conviction : pour être efficace, un document de politique de sécurité doit être court, lisible et opérationnel
  10. 10. MANAGEMENT SI 10 Copyright Beijaflore Group Focus sur la production et la validation d’un document Groupe Corpus : groupe de travail représentatif de la filière SSI constitué pour le projet de refonte du corpus documentaire Sécurité Rédaction du draft Relecture Expert Relecture SSI Relecture groupe Corpus Relecture SSI Draft document Draft document mis à jour Draft document mis à jour Arbitrages, Validation RSSI Approbation Document Mis à jour Note de communication et Fiche synthèse Publication document Documents SSI et Fonctions Groupe Documents réutilisables de la filière SSI Normes et standards publics Analyse de cohérence des documents Expression des besoins de la filière Bonnes pratiques Beijaflore (B-Community) Définition des besoins vue SSI Arbitrages Cadrage Rédaction Validation Cadrage par l’Expert du document cible : Plan détaillé et contenu
  11. 11. MANAGEMENT SI 11 Copyright Beijaflore Group Notre conviction : Favoriser le traitement complet des thématiques pour fournir une vision exhaustive des exigences de la sécurité : de la stratégie à l’opérationnel Nous préconisons de traiter quelques thématiques sur l’ensemble des niveaux documentaires, plutôt que de disperser les efforts sur le traitement d’un grand nombre de thématiques en parallèle Thématique de sécurité à traiter PSSI & Gouvernance Politique thématique Standards de sécurité Guides Approche verticale « Top – Down »
  12. 12. Copyright Beijaflore Group MANAGEMENT SI 12 La rédaction des standards de sécurité doit reposer sur les sachants opérationnels et leur applicabilité doit être éprouvée par des pilotes Nommer 10 sachants opérationnels appartenant à des périmètre distincts pou rédiger des standards de sécurité : production, équipe technique Identifier un collège de sachants opérationnels Éprouver chaque standard de sécurité sur un périmètre distinct de celui du rédacteur Mettre à jour le document Fournir un modèle de document (format & structure) standardisé au sachants Faire rédiger une première version du document Collecter les bonnes pratiques locales Collecter les bonnes pratiques connues localement par les sachants ou dans leur environnement proche Rédiger les standards suivant le modèle défini Réaliser un pilote Valider et déployer globalement les standards Valider les standards sur l’ensemble des périmètres et les déployer Meilleure applicabilité des standards définis Autonomie locale renforcée Appropriation plus forte par les opérationnels
  13. 13. MANAGEMENT SI 13 Copyright Beijaflore Group En synthèse : Nos convictions en matière de politique de sécurité Soutien de la DG Nécessité d’une démarche globale de management de la sécurité de l’information dans l’entreprise Spécification de la politique de sécurité en fonction des activités de l’entreprise et des besoins sécuritaires PSSI en accord avec le business Adaptation du vocabulaire et du format des documents de politique diffusés en fonction du public visé Communication ciblée Intégrer les résultats des contrôles de déploiement des politiques pour optimiser les exigences Processus d’amélioration Participation des experts Sécurité et des représentants métiers dans l’élaboration, la validation et la révision du corpus documentaire sécurité Implication de tous les acteurs Présentation d’un cadre documentaire clair qui traite chaque sujet selon différents niveaux Clarté de la PSSI Plus un document est fondamental plus sa durée de vie est grande Durée de vie des documents

×