Le SSE-CMM dont j’ai parlé la fois dernière propose 129 pratiques de base réparties en 11 pratiques de sécurité et 11 pratiques de gestion. Voyons cette fois-ci, de façon résumée, ces pratiques de sécurité que j’organise dans un ordre ‘logique’ plutôt qu’alphabétique, comme c’est le cas dans la référence.
Les pratiques ‘sécurité’
Spécifier les besoins de sécurité
Cette pratique conseille de définir le contexte (1) et les objectifs généraux de sécurité (2), y compris les enjeux et les exigences légales et métier, toutes parties prenantes confondues.
C’est la phase initiale de la gestion des risques.
Evaluer les impacts
Cette pratique propose d’identifier, de caractériser et de surveiller les impacts majeurs sur base de l’étude des biens (personnes, ordinateurs) qui supportent les informations et les processus.
C’est équivalent à estimer de façon régulière la valeur de vos informations, de vos activités et de vos objectifs en rapport avec vos valeurs et vos enjeux. Vous pouvez vous référer aux articles suivants : 3, 4 et 5.
Evaluer les menaces
Cette pratique cherche à identifier, caractériser, évaluer et surveiller les menaces et leurs propriétés. Cela implique d’étudier la capacité et la motivation des agents menaçants humains (attaques délibérées) autant que d’estimer la probabilité des évènements fortuits.
Evaluer les vulnérabilités
Cette pratique recommande d’identifier, de caractériser, d’évaluer et de surveiller les vulnérabilités du système et des biens qui le composent.
Les deux pratiques précédentes sont celles qui permettent d’analyser les risques (6).
Evaluer les risques de sécurité
Cette pratique conseille d’évaluer (7), de prioriser et de surveiller les risques du système (processus et informations associées) dans son contexte selon une méthodologie définie. Rappelons que cela consiste à mesurer l’effet des risques analysés sur les enjeux et les valeurs.
Fournir les objectifs à atteindre
Cette pratique recommande de déterminer les objectifs des contrôles et mesures de sécurité avant de les déterminer, les concevoir, les installer et faire fonctionner en accord avec nos besoins de sécurité (8).
Construire l’argument d’assurance
Cette pratique permet de mesurer les résultats ‘finaux’: mes objectifs (et de ceux qui dépendent de moi) sont-ils atteints ? Comment vais-je mesurer, analyser et évaluer ?
Vérifier et valider la sécurité
Cette pratique concerne l’analyse et la validation finale du risque résiduel une fois que toutes les mesures sont en place et opérationnelles (avec leur efficacité réelle) – pour le plan, voir 9. On s’assure que les risques sont acceptables compte-tenu des solutions préventives, réactives et correctives (10 et 11).
Coordonner la sécurité
La sécurité ne peut réussir par des actions isolées. Cette pratique conseille de communiquer les décisions et les recommandations vers toutes les parties prenantes. C’est le plus souvent réalisé par la documentation adéquate : politique (objectifs), directives (que faire) et standards (comment faire).
Parfois, ‘dire les choses’ n’est pas suffisant, surtout si plusieurs personnes sont impliquées dans la manipulation de vos informations et de vos ordinateurs. Mais quelques mots peuvent suffire.
Surveiller l’état de la sécurité
Cette pratique propose la capacité de détecter et de signaler toute situation indésirable qui a – les incidents par exemple (12) – ou pourrait représenter une faille dans la sécurité. La surveillance inclut les contextes intérieur et extérieur.
Administrer les mesures de sécurité
Cette pratique tend à assurer que les mesures de sécurité sont effectives, efficaces et efficientes (rentables). Elle prévoit l’organisation de sécurité (rôles et responsabilités pour les mesures), l’information, la sensibilisation et la formation de tous ceux qui sont intéressés, l’entretien et la gestion des services et mécanismes de sécurité installés.
Les huit premières pratiques découpent le processus de gestion des risques de sécurité. Les trois dernières permettent de veiller à ce que votre posture de sécurité reste efficace et répond à vos besoins changeants (13).
Je vous fais grâce des 11 pratiques de ‘gestion’ repris par le SSE-CMM. Ils ne s’adaptent pas vraiment aux particuliers. Seuls deux pratiques sont importantes pour vous :
- Identifier ce qui sera l’objet de votre étude de sécurité et pour lequel vous chercherez des mesures de sécurité ;
- S’assurer de disposer des compétences suffisantes pour faire le travail.
La Mesure
Pour chaque pratique, il vous faudra déterminer grâce à l’article précédent
1° Le niveau et le sous-niveau que vous désirez atteindre,
2° Le niveau auquel vous vous trouvez aujourd’hui,
3° De préparer votre plan, avec calendrier, pour passer de l’un à l’autre.
Avez-vous déjà mis en œuvre les recommandations que j’ai proposées – et pointées un peu partout dans cet article – depuis le début de ce blog, il y a bientôt trois ans ? Il est grand temps si vous ne voulez pas que vos informations soient au menu de ceux qui veulent vous nuire ou que votre ordinateur serve de pion dans une attaque d’envergure comme cela s’est passé en octobre avec des millions d’objets connectés.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
(1) http://info-attitude.com/comment-definir-contexte-etude-des-risques/
(2) http://info-attitude.com/comment-fixer-lobjet-de-sa-gestion-des-risques/
(3) http://info-attitude.com/10-axes-mesurer-valeur-informations/
(4) http://info-attitude.com/comment-mesurer-valeur-information-1/
(5) http://info-attitude.com/comment-mesurer-la-valeur-de-linformation-2/
(6) http://info-attitude.com/comment-evaluer-les-risques-securitedeinformation/
(7) http://info-attitude.com/objectifs-de-securite-de-niveau-3/
(8) http://info-attitude.com/avez-vous-atteint-vos-objectifs-de-securite/
(9) http://info-attitude.com/comment-concevoir-les-plans-dactions-securite/
(10) http://info-attitude.com/exigences-securite-premier-niveau-objectifs/
(11) http://info-attitude.com/objectifs-securite-2e-niveau/
(12) http://info-attitude.com/definir-objectifs-securite-information/
Google+