Agence LAMBERT - HomeAccueil arrow Conseil arrow Sécurité informatique arrow Sécurité: le problème de tous Agence LAMBERT - Conseil , Audit, Formation :: Sécurité: le problème de tous
Sécurité: le problème de tous Version imprimable
Bien souvent, les gens on tendance à croire que la sécurité informatique est le problème des informaticiens, pas le leur ! Leur raisonnement n'est pas faux puisqu’ils se basent sur leurs expériences d'entreprises où la lourde tache d'assurer la sécurité est remise entre les mains de 1, voir 2 (dans le meilleur des cas) personnes, mais cela n'est pas non plus une pratique optimale de la sécurité !

Pour comprendre cela, nous devons avant tout nous intéresser à ce qui est contenu dans les mots "Sécurité Informatique des systèmes et réseaux"

Les stratégies de sécurité

Les stratégies de sécurité sont les documents qui expliquent la manière dont une entreprise doit mettre en œuvre sa sécurité, en fonction de ses besoins et de ses moyens. Elle est constituée de trois parties principales qui segmentent son application, à savoir:

  • Les stratégies administratives: Ensemble de règles s'appliquant aux personnes et aux documents visant à cadrer de façon précises les attitudes et démarches à respecter afin de garantir autant que possible la sécurité. Par exemple, signatures de contrats de confidentialité, port du badge...
  • Les stratégies techniques: C'est ici la partie qui est appliqué par le service informatique. Il s’agit des règles régissant l'installation, la configuration et le cycle de vie des systèmes d'exploitation, des logiciels et des équipements réseau.
  • Les stratégies physiques: Les règles d'utilisation des éléments mobiliers et immobiliers.

Mais pour être valable, ces stratégies doivent être conformes aux règlementations gouvernementales et professionnelles, correspondre aux besoins de sécurité des actifs de l'entreprise, et proposer un niveau de réponse adapté au type et au degrés d'exposition des menaces sans oublier la culture d'entreprise, mais surtout, elles doivent faire l'objet de procédures qui expliques à tous comment se conformer aux stratégies , de manière simple et compréhensible par tous.

Bien souvent, si une stratégie de sécurité ne donne pas l'effet voulu, c'est qu'elle n'est pas appliquée, qu'elle est mal comprise, inaccessible, obsolète, trop flou ou trop stricte ou encore en désaccord avec la politique d'entreprise choisi par la direction. C'est pour cela que les stratégies de sécurité doivent être soigneusement pensé afin de leurs donner toutes les chances de réussir.

C'est pourquoi, ce travail ne peut être fait seul !

L’équipe Sécurité

L’équipe de sécurité est l’entité à la base des stratégies de sécurité. Elle est constituée d’expert et a pour but de concevoir, promouvoir et faire vivre les plans et les procédures. Dans cette équipe, on peut y identifier différents rôles, qui ne sont pas forcement tenu par une personne différente, qui se répartissent selon quatre groupes : Les membres clés (le noyau dur de l’équipe), les membres extérieurs, l’équipe de déploiement et l’équipe de réponse.

Le noyau dur

Le noyau constitue l’équipe de conception de la sécurité. On y trouve les rôles suivant :

  • Gestion des produits : Développer et exécuter l’étude de cas, s’assurer de l’adéquation de la conception avec les besoins de l’entreprise
  • Gestion des programmes : Gestion du projet dans sa globalité, gestion des objectifs stratégiques, du budget, des plannings et des ressources
  • Développement : Concevoir, construire et tester les mesures de sécurité, assurer les déploiements et fournir l’expertise technique
  • Test : Définir et piloter les tests ainsi que contrôler et garantir la qualité
  • Formation des utilisateurs : Déterminer les besoins des utilisateurs, concevoir et développer la formation des utilisateurs et des administrateurs.
  • Gestion logistique : Assurer la liaison entre l’équipe et les opérateurs, gérer et déployer les mesures de sécurité.

Les membres extérieurs

Les membres de l’équipe extérieure sont des personnes ressources indispensable à la réussite des stratégies, ils n’ont pas de rôle directe dans la conception mais leur place et trop souvent ignoré, entrainant ainsi un échec. Les personnes devant être présent dans cette équipe sont :

  • Equipe de direction : La personne autorisé à approuvé ou rejeter les recommandations, il est également chargé de soutenir l’équipe au près de la hiérarchie
  • Service Juridique : Conseil le noyau sur les lois et responsabilité susceptibles d’affecter les stratégies
  • Ressources humaines : Garantir la conformité et l’applicabilité au regarde du droit du travail
  • Utilisateurs finaux : Font remonter les commentaires sur la formation et l’impacte des stratégies sur leur travail
  • Auditeurs : Assurent la conformité et l’évolution durant la conception

L’équipe de déploiement

Une fois la conception initiale terminé, il ne reste plus qu’a l’implémenter. C’est le rôle de l’équipe de déploiement qui prend en charge également, la mesure de l’impact ainsi que l’assistance aux utilisateurs et qui remonte les informations pour la gestion des modifications dans le cadre de l’évolution des stratégies.

Bien qu’ayant mise en place des stratégies et des procédures pour réduire les risques de sécurité, vous n’êtes tout de même pas à l’abris d’incidents, mais vous pouvez prendre les devant en définissant des procédures de réponse qui réduiront l’impacte des incidents, ainsi qu’une équipe charger de gérer la crise.

L’équipe de réponse aux incidents

Une équipe de réponse est une brigade de choc mobilisable à tout instant et prête à répondre à tout problème. Elle doit être aussi réduite que possible afin d’assurer une rapidité et une efficacité de réponse mais doit être suffisamment importante pour réunir les compétences nécessaires. L’équipe de réponse doit être définie selon la manière suivante : Equipe mobilisable 24h/24 formée pour répondre aux incidents de sécurité et compétentes dans chacun des domaines, capable d’analyser objectivement les situations même sous pression et doit disposer de bonnes compétences de communication. On y trouve les rôles suivant :

  • Spécialiste de la sécurité : qui évalue et enquête sur l’incident et conseil sur les réponses à appliquer
  • Administrateur réseau : fournit des informations sur le réseau et les configurations ordinateur et aide à évaluer les dommages
  • Direction : prend les décisions critiques sur la manière de répondre et de communiquer sur l’incident
  • Conseiller juridique : Conseil la direction sur d’éventuelles poursuites juridiques et sur la communication externe

En conclusion, la sécurité ne peut être l’œuvre d’une seule personne. C’est le travail d’une équipe qui s’applique à tous c’est pourquoi il est indispensable d’impliquer les utilisateurs dans la politique de sécurité. Mais garder toujours à l’esprit que les utilisateurs ne viennent pas pour appliquer des règles de sécurité mais pour faire un travail ! Une stratégie de sécurité trop contraignante par rapport aux besoins et à l’utilisation est une stratégie voué à l’échec !
Fermer la fenêtre