J’avoue… c’est un peu un ‘coup de gueule’ ! Mais il faut bien de temps en temps pour faire changer les choses.
J’ai déjà dit que la sécurité, c’était plus que de mettre en place des mesures de protections, même si elles se répartissent dans les 9 domaines de la sécurité et qu’elles sont décidées au cours d’un processus de Gestion des risques.
Gérer sa sécurité, c’est bien plus que ça. Quel que soit notre projet ou nos activités, au privé ou au professionnel, il faut mettre en oeuvre les 7 axes suivants:
1. Organiser
La première chose à faire est de déterminer les rôles et les responsabilités pour plusieurs actions :
- Arbitrer les conflits, déterminer les objectifs à atteindre et décider les investissements (en temps, en personnel, en matériel et en organisation)
- Réaliser les différentes actions
- Identifier le contenu et les destinataires des massages de sensibilisation, de conscientisation et de formation.
Sans cela, personne ne se sent investi d’une mission et rien ne se fait. Tout ne peut être fait simultanément et, quand c’est nécessaire, il faut les ressources supplémentaires.
2. Etudier son contexte
Qui sommes-nous, que faisons-nous et où voulons-nous aller ? sont les questions de base. On y répond en
- Identifiant les informations et les processus qui nous permettent d’identifier et de réaliser nos objectifs.
- Identifiant les exigences légales et contractuelles (il y a toujours), parce qu’elles influencent nos objectifs et la façon dont on pourra les réaliser.
- Identifiant ses moyens informatiques nécessaires et ceux déjà en place.
- Classifiant les informations, les processus et les moyens informatiques afin de connaître leur valeur et identifier quel niveau de protection devrait leur être accordé.
3. Gérer ses risques
J’ai déjà abondamment parlé de ce sujet dans une série d’articles commençant ici.
Il est important de se rendre compte que la raison pour laquelle vous réalisez votre processus de gestion des risques détermine le périmètre à prendre en compte, l’importance que vous allez donner à chaque étape ainsi que les outils et techniques que vous allez utiliser.
N’oubliez pas dans votre étude les erreurs de manipulation, les accidents et les négligences.
4. Documenter ses décisions et ses actions
Les assurances réclament une preuve de possession de ce qui a été volé, ou détruit par le feu ou une inondation. La police et la justice aussi si vous portez plainte pour une intrusion, une extorsion ou toute autre attaque.
Avec la nouvelle réglementation européenne, toute entreprise, même un indépendant, qui traite des données à caractère personnel devra être capable de démontrer qu’il a pris les mesures nécessaires et suffisantes. J’y reviendrai très bientôt.
Il s’agit de mettre par écrit ce que vous avez fait et décidé. Cela sert ‘’à s’en souvenir’’ mais aussi à communiquer.
5. Sensibiliser et former les parties prenantes
Il faut ensuite sensibiliser et informer tous ceux qui sont impliqués d’une façon ou d’une autre dans nos activités sur les informations. Vous voudrez qu’ils comprennent et agissent comme vous et pas comme ils en ont envie
Ne le faites-vous pas quand vous prêtez votre voiture ou votre maison ?
6. Gérer les incidents
Quoi que vous fassiez, il se passera toujours quelque chose que vous n’avez pas prévu ou une attaque qui surmonte vos protections. Souvenez-vous ce que j’écrivais à ce sujet ici et ici.
7. Evaluer et faire évoluer sa situation
Une protection peut être efficace aujourd’hui et une dangereuse vulnérabilité demain. Parce que tout change continuellement autour de nous et dans notre entreprise (toute tentative d’action d’un être humain est une entreprise).
Ne pas réaliser les sept axes vous rend vulnérable. Si l’une manque, vous êtes sans roue de secours. Si une seconde est omise, votre charrette n’aura que trois roues. Si une troisième est absente, il vous faudra être équilibriste. Au-delà, vous resterez immobilisés.
Puisque ce sont vos informations, vos processus et vos équipements, c’est vous le chef d’orchestre et le compositeur.
Au travail !
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+
Bonjour Jean Luc
Excellent article, comme d’habitude: simple, concis, précis et percutant.
Merci
Merci Jamal.
C’est un résumé de l’essentiel de la norme ISO/IEC 27001.
A très bientôt
Jean-Luc