| |
|
 |
| Politique de sécurité |
|
|
 |
Politique
générale |
|
 |
Organisation
(missions et responsabilités) |
|
 |
Règles
et principes généraux de sécurité |
|
| |
| |
Afin d'orchestrer une mise en oeuvre globale et
cohérente des moyens de sécurité du système
d'information au sein de l'entreprise, un Cadre de Référence
Sécurité du Système d'Information doit être
élaboré.
Structuré autour de 3 composantes clés à " caractère
constitutionnel ", ce cadre a pour objet de définir les objectifs
généraux et les principes de sécurité de l'entreprise
en matière de protection de son patrimoine informationnel. Afin
d'être largement diffusé et mise en œuvre, ce cadre
doit s'inscrire dans un schéma d'articulation type dont les principales
composantes sont décrites ci-après : |
|
| |
|
 |
|
| |
|
|
| |
 |
La politique générale qui énonce
les enjeux du système d'information pour l'entreprise, présente
les orientations majeures retenues par la Direction Générale
à l'égard de la protection de son patrimoine informationnel
et précise les principes directeurs en matière de
responsabilités et d'engagements des différents acteurs
et instances concernés ; |
| |
|
|
| |
|
Le schéma d'organisation détaillé
qui, à partir des " missions types " communément
admises liées au management des risques liés au système
d'information, décline les principes rôles/responsabilités
énoncés au sein du document de politique générale
au sein de l'organisation générale de l'entreprise
; |
| |
|
|
|
|
Un ensemble de directives fonctionnelles
énonçant les règles et principes généraux
de sécurité à mettre en œuvre au sein
des différents environnements organisationnels, technologiques
et humains qui sous-tendent les activités |
|
|
|
| |
|
La démarche préconisée
par LYNX TECHNOLOGIES |
|
|
| |
|
Document de politique générale
de sécurité |
|
|
| |
|
En partant d'une analyse de l'existant documentaire, Lynx
Technologies élabore un projet de sommaire articulé plus
particulièrement autour des aspects suivants :
|
|
| |
|
|
| |
|
Les enjeux liés au système d'information
et les risques associés, dans le contexte de l'entreprise
; |
| |
|
Les préoccupations sécuritaires majeures
de la Direction Générale ; |
|
|
Les principes de partage des responsabilités
entre les différents acteurs / instances de l'entreprise. |
|
|
|
| |
|
Les éléments d'information permettant de
personnaliser le propos dans le contexte de l'entreprise sont obtenus
au travers d'un certain nombre d'entretiens avec : |
|
| |
|
|
| |
|
Les principaux acteurs impliqués dans le
processus de management des risques de l'entreprise ; |
|
|
Certains représentants des métiers
et de la Direction Générale. |
|
|
|
| |
|
Une fois le sommaire validé, un projet de contenu
est élaboré par Lynx Technologies et un processus de validation
est mis en place, conformément aux principes arrêtés
en début de mission.
|
 |
|
| |
|
Schéma d'organisation
détaillée |
|
|
| |
|
Lynx Technologies a développé un modèle
organisationnel de référence articulé autour des
bonnes pratiques en matière de management des risques liés
au système d'information, dans le respect d'un certain nombre de
standards reconnus tels que l'ISO 17799 ; il recense les missions / tâches
liées à la sécurité et pré-positionne
les rôles et responsabilités des différents acteurs
à l'égard des processus sécuritaires types, notamment
en matière de : |
|
| |
|
|
| |
|
Cadre général et pilotage de la sécurité
; |
| |
|
Mise en œuvre opérationnelle de la sécurité
; |
| |
|
Prise en compte de la sécurité dans
les projets ; |
| |
|
Identification et évaluation des risques
liés au système d'information ; |
|
|
Audits de sécurité du système
d'information. |
|
|
|
| |
|
Directives fonctionnelles de sécurité
: |
|
|
| |
|
La réflexion est conduite à partir d'un
référentiel générique conçu et maintenu
en tenant compte d'une part de la propre expérience de Lynx Technologies
en matière de définition de standards, principes et règles
générales de sécurité, et d'autre part de
recommandations émanant d'instances de référence
(BS 7799, ISO 17799, CLUSIF, …).
Ce référentiel est doit être adapté au contexte
de l'entreprise en fonction, notamment :
|
|
| |
|
|
| |
|
Des enjeux, risques majeurs et préoccupations
prioritaires soulignés au sein du document de politique générale
; |
|
|
Des principes sécuritaires déjà
mis en œuvre, que ce soit au sein des infrastructures informatiques
et de télécommunication proprement dites, comme au
sein des processus métier. |
|
|
|
| |
|
L'adaptation est réalisée au travers d'entretiens
menés avec un certain nombre d'interlocuteurs représentant
des fonctions techniques ou non de l'entreprise qui auront été
identifiés en début de mission comme susceptibles d'avoir
un avis pertinent sur les conditions d'application des règles et
principes directeurs issus du référentiel. |
|
| |
|
|
|
