Gestion de la sécurité de l'information

Les principales activités de gestion et de gouvernance peuvent être regroupées en neufs catégories. Ce modèle vous permet de vous concentrer sur l'essentiel.
La sécurité de l'information ne se limite plus seulement au déploiement de solutions techniques. En tant que domaine stratégique de l'entreprise dans le monde connecté et l'économie digitale, elle nécessite une approche rigoureuse dans sa gouvernance pour garantir:
- la conformité aux règlementations, lois et bonnes pratiques,
- la responsabilisation à tous les niveaux, notamment du conseil d'administration et de la direction,
- la gestion efficace des risques et des investissements.

Mais, avez-vous les bons outils?

Posez-vous les questions suivantes...

Avez-vous une Politique sécurité? Comment établir la politique, les directives et le cadre documentaire?

Votre Stratégie est-elle définie? Comment élaborer une stratégie sécurité?

Quelle est votre Organisation sécurité? Quels sont les organes de gouvernance et les équipes chargés des opérations?

Est-ce que vos Risques sécurité sont bien gérés? Sont-ils bien identifiés et quelles mesures sont prises pour les mitiger?

Comment est géré votre Programme sécurité? Comment optimiser les contrôles et prioriser les investissements?

Avez-vous un système de Reporting? Comment élaborer les tableaux de bord et les rapports pour les décideurs?

Disposez-vous d’une classification des données et d’une gestion d’ Actifs à protéger? Comment établir un inventaire?

Etes-vous en Conformité avec les règlementations (ex. GDPR)? Comment gérer les projets de mise en conformité?

Disposez-vous de Métriques (KPI) pour mesurer l’efficacité de la sécurité? Comment définir les KPI fiables?

Si vous souhaitez améliorer vos pratiques de gouvernance et de gestion de la sécurité dans son ensemble ou dans un domaine spécifique (cybersécurité, gestion des identités et droits d'accès, etc.) ou si vous avez des projets de mise en conformité (LPD, Finma, GDPR), alors nous pouvons vous apporter une longue expérience acquise dans des projets similaires, une méthode et des outils éprouvés.

Le modèle Three-Level Control Framework peut être utilisé pour améliorer la gouvernance et la gestion de la sécurité

Notre valeur ajoutée:

  • Ateliers de sensibilisation pour la Direction sur les pratiques de la gouvernance et de la gestion de la sécurité.
  • Méthodologie et outils éprouvés pour l’évaluation des pratiques et de la conformité.

Evaluation des pratiques de gestion de la sécurité

La stratégie est un plan, approuvé par la direction de l’entreprise, présentant la vision et les changements nécessaires à son programme de sécurité de l’information

Notre valeur ajoutée:

  • Méthodes et outils pour identifier les objectifs de l’entreprise, hiérarchiser et articuler une stratégie globale de sécurité de l’information.
  • Elaboration de stratégie et plan d’action.
1

Elaboration de la stratégie sécurité

La politique et les directives de sécurité de l’information font partie d’un cadre bien défini.

Notre valeur ajoutée:

  • Proposition d’une méthode et des outils pour définir la politique de sécurité et le cadre documentaire,
  • Proposition des contenus et des exemples de politiques et directives de sécurité.
2

Etablissement de la politique et des directives

L’organisation de la sécurité reflète la stratégie. Les fonctions devraient être définies pour faire face aux objectifs principaux de la sécurité.

Notre valeur ajoutée:

  • Définition ou révision de toutes les fonctions de sécurité et spécialement les organes de gouvernance et de gestion.
  • Développement ou évaluation d’un organigramme de sécurité.
3

Organisation sécurité

L’atténuation des risques est un des objectifs principaux de tout programme de sécurité. La gestion des risques de sécurité est exigeante en raison principalement de l’absence de mesures et d’évènements observables.

Notre valeur ajoutée:

  • Définition du processus de gestion des risques.
  • Approche pragmatique pour définir les scénarios de risques.
  • Etablissement des métriques et KRI (probabilité, impact).
4

Gestion des risques sécurité

L’objectif de la gestion du programme de sécurité de l’information est de maintenir un niveau de sécurité approprié et de gérer les ressources afin que les objectifs puissent être atteints.

Notre valeur ajoutée:

  • Méthode et exemples pour l’élaboration des rapports sur l’état de sécurité et avancement vers les objectifs.
  • Méthode de développement des catalogues de contrôle et évaluation de la maturité des contrôles.
5

Gestion du programme sécurité

L’objectif du reporting est de décrire l’état de la sécurité à un moment donné, d’apporter les faits sur les tendances et d’imposer un moyen de communication entre les parties prenantes.

Notre valeur ajoutée:

  • Méthode de conception des rapports et des tableaux de bord,
  • Exemples de reports, tableaux de bord et des meilleures pratiques.
6

Design des rapports et tableaux de bord

Savoir quoi protéger et quelles données ou infrastructures sont essentielles pour l’entreprise sont des conditions sine qua-non pour une sécurité adéquate.

Notre valeur ajoutée:

  • Méthode et outils pour la gestion d’actifs et flux sensibles,
  • Classification et inventaires des données.
7

Gestion d'actifs et inventaires

Connaître le cadre juridique et règlementaire qui s’applique à la sécurité de l’entreprise et comment s’y conformer est essentiel pour la mise en place de tout programme de sécurité.

Notre valeur ajoutée:

  • Outils d’auto-évaluation pour les principales règlementations dans le domaine de la protection de données (ex: GDPR),
  • Définition du programme de mise en conformité et gestion de projets concernés.
8

Gestion de la conformité

Les métriques devraient fournir des indicateurs permettant de répondre aux questions telles que: Notre sécurité est-elle adéquate? Nos dépenses de sécurité sont-elles justifiées? ou Quel sera le retour sur les investissements?

Notre valeur ajoutée:

  • Définition des métriques et KPI (Key Performance Indicators).
  • Outils d’agrégation des indicateurs tels que: balanced scorecard pour la sécurité, métriques associés aux risques, modèles de maturité, Goal Question Metrics, benchmarks, etc.
  • Fourniture d’exemples de métriques et KPI.
9

Définition des métriques et KPI