Blog ENI : Toute la veille numérique !
💥 Un livre PAPIER acheté
= La version EN LIGNE offerte pendant 1 an !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Cyber-résilience en entreprise
  3. résilience en entreprise
Extrait - Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
Extraits du livre
Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
1 avis
Revenir à la page d'achat du livre

Système Management Sécurité Information SMSI

Introduction

Ce chapitre est basé sur le thème du management de la sécurité de l’information avec la présentation d’un SMSI et de son implémentation : méthodologie de rédaction de processus/procédure/instructions, structuration au sein d’un système de management à l’aide de l’outil Confluence (Atlassian), pilotage du SMSI.

Objectif

L’objectif d’un SMSI est de protéger l’organisation concernée et d’améliorer cette protection sur les domaines de la confidentialité, de l’intégrité et de la disponibilité de l’information. La mise en œuvre de contrôles de sécurité favorise la confiance entre les parties prenantes. Enfin, un SMSI robuste et réel permet de garantir le respect de la conformité avec le cadre légal (ISO/IEC 27001).

Le SMSI est un cadre de référence comportant des thématiques obligatoires afin de garantir la protection de l’information, selon les objectifs définis en amont par l’organisation :

  • Lignes directrices

  • Politiques

  • Processus

  • Procédures

  • Toute ressource associée (instructions, modes opératoires, modèles de documents, tutoriels, liens externes documentaires...).

Ce cadre se doit d’être adopté par toute l’organisation, sous peine de dysfonctionnements concernant la gouvernance de l’organisation et de la réduction des risques sur la sécurité de l’information.

Il est important de viser l’implémentation d’un SMSI opérationnel et non de façade : sponsoring sans faille de la direction générale (dans l’idéal, la commande de mise en œuvre d’un SMSI...

Contenu du SMSI

1. Mise en œuvre du SMSI

L’implémentation d’un SMSI suit trois étapes à effectuer de façon séquentielle :

  • Étape n°1 : empreinte de maturité, permettant de savoir où en est l’organisation par rapport à la SSI et aux exigences de la norme ISO IEC 27001. Cette phase primordiale permet de faire un état des lieux et de disposer d’une cartographie des éléments manquants et, ainsi, de définir le plan d’action nécessaire pour effectuer la remédiation (plan d’action orienté organisationnel, stratégique, technique avec les moyens associés). Cette phase passe souvent par une formation préalable des parties prenantes sur le SMSI d’une durée moyenne de deux jours. Il est vivement conseillé de nommer le plus vite possible le pilote du projet SMSI, souvent le RSSI, et de le former à l’implémentation de la norme ISO IEC 27001 (formation Lead Implementor), ainsi qu’un auditeur avec une formation également adaptée (Lead Auditor). Cette première étape permet également de vérifier l’appui de la direction générale sur le projet et de communiquer sur le plan de déploiement.

  • Étape n°2 : implémentation et exploitation, permettant la mise en œuvre...

Focus sur le processus de gestion de crise

1. Présentation du processus

Le processus de gestion de crise est un processus particulier et particulièrement critique.

Exemple de processus de gestion de crise SSI

Fiche document

Catégorie de document

Processus

Validation informelle

Date :

Par :

Diffusion informelle

Interne

Dernière revue

Date :

Par :

Propriétaire

RSSI

Dernier enregistrement

Date :

Par :

Référence du document

PRSS-410-Gérer une crise

Emplacement

Confluence

Définition de la gestion de crise (GDC)

La gestion de crise peut être définie comme une situation soudaine, souvent brutale, inattendue, aux conséquences potentiellement graves pour l’entreprise et pour laquelle les mécanismes et réactions habituels sont inadaptés.

But du processus

Gérer des situations de crise SSI dans l’activité de l’organisation.

Objectifs du processus

  • Mobiliser les ressources et moyens exceptionnels nécessaires à la GDC.

  • Améliorer la prise de décision.

  • Adapter les réponses à la situation.

  • Adapter les niveaux d’escalade en fonction de la gravité.

  • Diminuer l’impact de la crise sur l’organisation et les clients de l’entreprise.

  • Limiter le nombre de cas de crise en enrichissant continuellement les pratiques de gestion des incidents (GDI).

L’organisation doit :

  • Définir les enjeux et sensibiliser les ressources à la GDC.

  • Prévoir et anticiper les scénarios et dispositions pour la GDC.

  • Lorsque la crise survient :

  • analyser la situation et ses impacts,

  • organiser et coordonner les actions,

  • mobiliser les expertises nécessaires à la bonne gestion de crise,

  • communiquer, rassurer et calmer.

  • Après la crise :

  • gérer la sortie de crise et le retour à la normale,

  • prendre les dispositions nécessaires pour conserver les traces et journaliser les actions,

  • relever et archiver les preuves en vue d’une action forensique.

Activités du processus

  • Phase de veille

  • Phase d’activation

  • Phase opératoire

  • Phase de consolidation

2. Description du processus

a. Phase de veille

En condition d’exploitation normale, la GDC assure une permanence décisionnelle au sein de l’organisation. Par ailleurs, dans le cadre de sa mission de responsable de la GDC, le responsable...

Mise en œuvre avec Confluence

Confluence est un outil intéressant dans l’implémentation d’un système de management de type ISO. C’est un logiciel accessible en mode Web qui permet d’écrire les documents du SMSI sous la forme de pages wiki. Le moteur de recherche et les nombreux plugins (workflow, diagramme…) permettent d’enrichir le SMSI tout entier. Le produit s’installe on-premise sur un serveur (souscription annuelle avec un minimum de 500 utilisateurs et pour un prix aux alentours de 45 000 euros par an) ou accessible directement en mode SaaS (plus avantageux financièrement avec la possibilité de commencer avec 10 utilisateurs).

1. Lettre d’engagement en faveur du SMSI

Cette lettre est fondamentale. C’est le document fondateur qui justifie la démarche qualité en vue de la réalisation du SMSI. Elle doit être signée par la direction générale, montrant ainsi l’implication au plus haut niveau de l’entreprise. 

Exemple

Fiche document

Catégorie de document

Politique

Validation

Date : 

Par : 

Diffusion informelle

Interne

Dernière revue

Date : 6 janvier 2023

Par : Directeur Qualité

Propriétaire

Directeur qualité

Dernier enregistrement

Date : 28 avril 2023

Par : RSSI

Référence du document

POLI-I-001-DQUAL-Politique qualité en faveur du SMSI

Emplacement

Confluence

Table des matières

  • Engagement de la direction générale dans la mise en œuvre d’un SMSI.

  • Périmètre du SMSI.

  • Engagement de la direction générale adjointe aux ressources.

  • Ressources et moyens engagés.

  • Responsabilités.

Engagement de la DSI dans la mise en œuvre d’un SMQ

L’entreprise Mon Beau Cloud fournit des services de cloud computing souverain (IaaS, PaaS, SaaS) à ses clients de type entreprises et collectivités. Sa mission principale est de commercialiser les services de son catalogue, de produire les services et de les maintenir en condition opérationnelle.

La fabrique IT, composée d’un ensemble de ressources numériques (infrastructure système et réseau, applications métier, applications bureautiques collaboratives, système de visualisation de données...), permet de mettre à...

Gestion des applications

Dans le domaine de la gestion des applications, il est indispensable de mettre en œuvre une cartographie applicative à l’aide d’un logiciel spécifique permettant de disposer d’une vue complète de cette partie du SI :

  • Liste des applications

  • Description de chaque application

  • Fonctionnement interapplications

  • Lien avec l’infrastructure (système, réseau, stockage, middleware…)

  • Analyse d’impact (quel est l’impact si j’arrête telle application ?)

Deux documents semblent inévitables :

  • La fiche descriptive d’application (FDA), véritable carte d’identité de l’application.

  • Le plan de sécurisation applicatif (PSA), véritable guide méthodologique en cas de crash complet de l’application pendant un temps incertain et initialement long (cas de cyber-attaques). L’idée est d’utiliser ce plan pour fonctionner sans application, avec du papier et des crayons.

1. Fiche descriptive d’application (FDA)

Exemple de modèle de FDA (à instancier par application) :

a. Généralités

Nom de l’application :

Direction métier :

Fonctionnalités principales :

 

Date 

Éditeur

 

Création

 

Validation

 

Date de dernière mise à jour

 

Date de première mise en circulation de l’application

 

b. Contexte

Parties intéressées

Description

DSI

 

Directions métier

 

Utilisateurs internes (collaborateurs, agents de fonction publique…)

 

Utilisateurs externes (clients, usagers…)

 

Prestataires

 

c. Principaux risques

Risques identifiés

Actions de remédiation

 

 

 

 

 

 

 

 

d. Propriétaires

Acteurs

Description

N° de contact

Responsable de l’application

 

 

Développeurs

 

 

Chef de projet informatique

 

 

Responsables fonctionnels

 

 

Chef de projet client

 

 

Contact prestataires (éditeurs revendeurs…)

 

 

e. Guide d’utilisation

 

Liens 

Manuel d’utilisation utilisateurs

 

Tutoriel vidéo utilisateurs

 

Procédures d’installation

 

Autres documents

 

Modules...