La norme ISO 27002, dans son chapitre 6.1, recommande d’organiser la sécurité de l’information. Cela signifie que l’on recommande de structurer et de hiérarchiser les fonctions en rapport avec la sécurité de l’information ainsi que de définir les règles générales de fonctionnement. Il importe également de bien asseoir les différents niveaux et relations d’autorité et les flux d’informations permettant de faire fonctionner la sécurité de l’information.

Rôles et responsabilité

Les différentes fonctions de l’entreprise qui ont un impact ou sont impliquées dans la sécurité de l’information devraient voir leurs rôles et responsabilités précises déterminées et attribuées : décideur, gestionnaire, utilisateur, contrôleur.

On veillera à ce que ces descriptions d’emploi décrivent également les connaissances et compétences nécessaires en matière de sécurité. Cela concerne également les besoins en confiance pour les fonctions qui devront accéder à des informations hautement sensibles ou des biens critiques.

Ségrégation des rôles

Il convient que la direction s’assure que les tâches et rôles incompatibles soient bien séparés. Personne ne peut en effet être juge et partie ou pouvoir camoufler ses erreurs ou ses actions.

Par exemple, celui qui gère ou qui opère ne peut pas contrôler. Celui qui contrôle ou administre (administrateur système) ne devrait pas pouvoir effacer les traces que les systèmes enregistrent de façon automatique.

Relations avec les autorités

Il y aura toujours des situations où l’on aura besoin des autorités, par exemple la police en cas de vol, de cyber attaque ou de plainte. La direction doit savoir quelle est l’autorité de contrôle pour ce qui concerne les données à caractère personnel que toute entreprise manipule (tout ce qui est lié au nom d’une personne : employés, clients, fournisseurs, etc.). De même, on conservera et tiendra à jour les coordonnées des services de secours ainsi que d’un avocat ou d’un juriste.

Il faut cependant bien identifier qui sera autorisé à contacter ces autorités, dans quelles circonstances et de quelle manière.

Relations spécialisées

Il est rare que les entreprises, surtout les petites, disposent des connaissances et des compétences en matière de sécurité de l’information et de sécurité informatique. Il serait donc fort utile de nouer des relations avec des experts, des groupements ou des forums spécialisées dans le domaine afin d’obtenir des conseils et surtout de l’aide en cas de problème ou d’incident.

Attention cependant, le gérant du magasin d’ordinateur du coin ou l’informaticien qui nous installe les logiciels sont sans aucun doute excellents dans leur domaine mais ne sont pas omniscients. L’informatique est devenue très complexe et représente plus d’une vingtaine de métiers différents. Les associations professionnelles sont, à cet égard, préférables.

Nous savons également qu’il y a une grande différence entre la sécurité informatique et la sécurité de l’information et que les connaissances et compétences nécessaires sont en partie différentes.

A nouveau, la direction devrait désigner la personne qui prendra contact ou qui participera aux activités des groupes spécialisés, ainsi que des informations qu’elle sera autorisée à communiquer.

Sécurité dans les projets

On sait que corriger des erreurs après coup est souvent difficile et coûte plus cher que de concevoir correctement dès l’origine.

Ce contrôle vise à organiser la prise en compte de la sécurité de l’information dans les projets de l’entreprise et à désigner la personne qui coordonnera les actions tout au long des projets. Les contrôles spécifiques seront développés ailleurs dans la norme.

Votre entreprise a-t-elle bien défini et attribué les rôles-clés en matière de sécurité ? Organiser est le point de départ de toute activité qui veut atteindre son objectif. Sans attribution claire des rôles et responsabilités, rien de cohérent ne se produit.

A bientôt, plus en sécurité avec vos informations

Jean-Luc

crédit photo: réserve personnelle