| |
|
 |
| Analyse de risque / schéma
directeur de sécurité |
|
|
 |
Méthodes |
|
 |
Démarche
préconisée par LYNX TECHNOLOGIES |
|
| |
|
|
|
Méthodes |
|
|
| |
Gérer les risques liés au système
d'information c'est, conformément aux principes de gouvernance
en la matière généralement admis : |
|
| |
|
| |
 |
Identifier les enjeux du système d'information
à l'égard des métiers et activités de
l'entreprise ; |
| |
|
Appréhender les conditions dans lesquelles
des menaces pesant sur le système d'information seraient
susceptibles d'exploiter des failles organisationnelles ou technologiques
; |
| |
|
Evaluer les conséquences de tels risques
pour l'entreprise (pertes financières directes ou indirectes,
atteinte à l'image de marque, sanctions pénales, remise
en cause de la confiance des partenaires, …) ; |
|
|
Prendre les mesures pour ramener les risques jugés
inacceptables à un niveau supportable par l'entreprise. |
|
|
|
| |
Effectuer une analyse des risques liés au
système d'information, c'est s'inscrire dans la démarche
de gestion des risques évoquée ci-dessus : |
|
| |
|
| |
|
Traduire les enjeux et besoins de sécurité
en exigences de sécurité sur les ressources fonctionnelles
clés du système d'information (applications, bases
de données, flux d'échanges, …) ; |
| |
|
Identifier les vulnérabilités actuelles
du système d'information ; |
| |
|
Appréhender la potentialité d'apparition
de menaces susceptibles d'exploiter les vulnérabilités
détectées ; |
| |
|
Qualifier le niveau de gravité potentiel
des risques ainsi identifiés ; |
|
|
Définir le plan d'actions hiérarchisé
de réduction des risques jugés inacceptables par l'entreprise. |
|
|
|
| |
Soucieux de proposer une approche souple, adaptée
aux contextes et aux objectifs de ses clients en matière de maîtrise
de leurs risques, Lynx Technologies a développé sa propre
démarche d'analyse, basée sur des outils d'investigation
et de collecte d'information fruits de son expérience significative
en la matière.
A la demande, Lynx Technologies peut toutefois mettre en œuvre des
méthodes reconnues par le marché telles que par exemple,
MARION ou MEHARI (développées par le Club de la Sécurité
des Systèmes d'Information Français, CLUSIF) ou COBIT (modèle
conçu par l'Information System Audit & Control Association,
ISACA).
|
|
|
|
Démarche préconisée par LYNX
TECHNOLOGIES |
|
|
| |
Dans le cadre d'une démarche globale de maîtrise
des risques majeurs liés au système d'information, le Schéma
Directeur de Sécurité du système d'information (ou
Analyse des Risques liés au système d'information) a pour
objectifs : |
|
| |
| |
|
|
|
|
de mettre en évidence les enjeux majeurs
du système d'information de l'entreprise au regard des ses
activités clés, |
| |
|
d'identifier les vulnérabilités
organisationnelles, techniques, juridiques et réglementaires
de l'environnement de gestion de l'information support des activités
critiques, |
| |
|
d'identifier des scénarios de risques caractéristiques
susceptibles d'exploiter les faiblesses recensées et d'en
apprécier la gravité résiduelle potentielle, |
| |
|
de définir un plan d'action de réduction
des risques, privilégiant les scénarios les plus
critiques, |
| |
|
de permettre à la Direction Générale
d'effectuer le choix des investissements sécuritaires
les plus " efficients ", au regard des impacts (notamment
financiers) associés aux risques majeurs identifiés. |
| |
|
|
|
|
| |
Une telle étude s'apparente à un audit-diagnostic
ayant pour objet de mesurer, à un niveau global, la qualité
des moyens, dispositifs et procédures de sécurité
mis en place au sein de l'entreprise pour protéger son système
d'information et réduire les conséquences que son dysfonctionnement
serait susceptible d'induire sur les processus métiers critiques.
L'étude est structurée en 3 phases :
|
|
|
| |
|
Phase 1 : évaluation
des enjeux |
|
|
| |
|
Cette phase a pour objectif d'identifier les enjeux
majeurs de la sécurité du système d'information
retenu dans le cadre de l'étude. Elle doit permettre de préciser
ou d'identifier globalement les exigences opérationnelles en termes
: |
|
| |
|
|
| |
|
de disponibilité des systèmes, applications
et données (continuité de service, moyens de secours,
sauvegardes et archivage), |
| |
|
d'intégrité des données et
des traitements (exactitude, exhaustivité, garantie de non-altération,
pérennité), |
| |
|
de confidentialité (protection des données
contre leur diffusion intempestive), |
|
|
le cas échéant, de Contrôle
& Preuve (gestion de traces, imputablité des actions,
non-répudiation). |
|
|
|
| |
|
Phase 2 : identification des
vulnérabilités |
|
|
| |
|
Cette phase a pour objectif de mesurer la qualité
des moyens, dispositifs et procédures de sécurité
mis en place au sein de l'entreprise afin d'établir un état
des lieux sur le niveau actuel de protection du système d'information,
à la fois sur les plans organisationnel, technologiques, réglementaires
et humains.
|
|
| |
|
|
|
| |
|
Phase 3 : identification des
risques majeurs - élaboration des recommandations |
|
|
| |
|
Cette phase permet d'identifier les risques majeurs potentiellement
encourus par l'entreprise au regard des moyens de sécurité
actuellement mis en œuvre et de formaliser les recommandations susceptibles
d'améliorer la situation existante. L'ensemble de ces recommandations
donne lieu à une proposition de plan d'action hiérarchisé
de réduction des risques majeurs. |
|
|
| |
|
Résultats fournis |
|
|
| |
|
L'étude conduit essentiellement à la fourniture
de trois livrables : |
|
| |
|
|
| |
|
Un dossier de choix économique ; |
| |
|
Une synthèse des enjeux du système
d'information et de ses vulnérabilités majeures ;
|
|
|
Le détail de chaque projet sécuritaire
clé (objectif, démarche de mise en œuvre proposée,
charges estimatives de mise en œuvre et coûts de fonctionnement
éventuels, niveau de priorité). |
|
|
 |
| |
|
|
|
