[Organiser la sécurité]
Cette page présente quelques éléments essentiels en matière d’organisation de la sécurité au sein d’une entreprise. Les points suivants y sont abordés :
– Acteurs de la sécurité.
– Organisation de la sécurité.
– Cadre juridique.
Ligne
[Acteurs de la sécurité]
[RSSI]
« Le Responsable de la Sécurité des Systèmes d’Information (RSSI) est le garant de la sécurité des systèmes d’information de l’entreprise. Ses domaines d’action sont multiples mais ils répondent à un seul objectif : assurer l’intégrité, la cohérence et la confidentialité des données de tous les systèmes d’information de l’entreprise. » (Livre Blanc sur la sécurité des système d’information – 2ème édition, Commission Bancaire).
[Positionnement hiérarchique]
Le RSSI intervient de manière transversale sur l’ensemble du système d’information de l’entreprise, d’un point de vue organisationnel et technique, en synergie avec les différentes directions.
Il est généralement convenu que le RSSI, pour des questions d’indépendance et d’efficacité, doit être rattaché à un niveau hiérarchique élevé (ex. : rattachement au niveau Direction Générale) et disposer d’un budget spécifique.
[Profil]
La fonction essentielle de RSSI requière avant tout :
- Une bonne connaissance de l’ensemble des métiers, et donc une certaine ancienneté dans l’entreprise.
- De bonnes compétences techniques (système et réseau) puisque le RSSI traite directement avec les techniciens et experts des différents domaines du système d’information.
- Un sens avéré de la stratégie et de la communication, du fait de l’importance du domaine dans lequel il évolue.
[Missions]
Le RSSI cumule des fonctions transversales et pointues, parmi lesquelles :
- Analyse des risques.
- Contrôle, audit.
- Architecture, conception.
- Veille technologique.
- Sensibilisation, formation.
[Cellule de contrôle interne]
[Contrôle interne informatique]
Le contrôle interne en informatique est classiquement divisé en 3 niveaux :
- 1er niveau : il s’agit du contrôle permanent, au plus proche de l’utilisateur. Il est parfois divisé en deux étapes appelées classiquement degrés :
– 1er degré : il s’agit de la politique des « quatre yeux ». Le gestion de la sécurité est assurée par deux personnes, une réalisant les opérations, l’autre les contrôlant (ex. : un exploitant et un administrateur).
– 2nd degré : il s’agit du contrôle hiérarchique. Le chef de service, ou de l’unité locale, est responsable du contrôle interne des règles de sécurité au sein de son équipe.
- 2ème niveau : le contrôle est effectué par les services internes de l’audit informatique.
- 3ème niveau : le contrôle est effectué par un organisme tiers externe à l’entreprise, par exemple un cabinet d’audit.
[Cellule de contrôle de la sécurité]
Une cellule de contrôle interne a pour but de définir et mettre à jour l’ensemble des moyens techniques et procéduraux pour le contrôle interne de 1er niveau. Elle assiste le chef de service dans la fourniture des outils nécessaires au contrôle de 2nd degré. Elle réalise des analyse de risque afin de surveiller l’évolution du niveau de sécurité.
Pour ce faire, la cellule de contrôle de la sécurité doit être interne au service et composée :
- Du chef de service.
- Du responsable technique du suivi de la sécurité.
Elle peut se faire assister du RSSI et de ses équipes.
[Équipe sécurité]
[Définition et organisation générales]
Au sein de l’entreprise, doit être définie et constituée une équipe sécurité. Celle-ci doit rassembler des spécialistes système et réseau formés aux problématiques de sécurité. Les principales tâches dévolues à cette équipe sont :
- La coordination des activités de sécurité.
- La veille technologique, la recherche et l’évaluation de solutions techniques.
- L’évaluation périodique du niveau de sécurité (audit des vulnérabilités).
- L’élaboration de procédures.
Les rôles et profils techniques des membres de cette équipe sécurité doivent être clairement définis en fonction de la stratégie de sécurité globale, ainsi que les moyens techniques mis à leur disposition (ex. : outil de détection de vulnérabilités, outils d’analyse et de corrélation de logs).
Cette équipe travaille directement en relation hiérarchique avec le RSSI.
Elle constitue l’entité d’expertise sur laquelle peuvent s’appuyer les différentes cellules de contrôle de la sécurité orientée métiers.
[CERT/SIRT]
Il est souvent extrêmement intéressant de développer au sein de l’entreprise une entité de type CERT/SIRT (Computer Emergency Response Team/Security Incident Response Team).
Cette équipe doit être constituée d’opérationnels et de décisionnels, ainsi que d’experts et d’exploitants.
Cet organisme est spécifiquement en charge des procédures de détection et réaction sur incident informatique (ex. : tentative d’intrusion, perte de service essentiel…) ou sur découverte de vulnérabilités.
Les moyens techniques associés à cette fonction sont également essentiels (ex. : outil de vérification de compromission d’un équipement, abonnement à un organisme de publication de failles de sécurité).
Ligne
[Organisation de la sécurité]
[Politique de sécurité]
Une politique de sécurité est classiquement définie comme l’« Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particuliers les informations sensibles, au sein de l’organisation » (ITSEC, Commission européenne, juin 1991 §2.10).
Les principaux objectifs d’une politique de sécurité sont classiquement :
- Informer et sensibiliser les individus sur les risques encourus par un système d’information (provenance du risque, risque maximum toléré…).
- Fournir les moyens techniques et organisationnels pour se prémunir des risques identifiés et garantir un niveau de sécurité durable vis-à-vis des clients de l’entreprise, du système bancaire et de l’entreprise elle-même.
- Élaborer un cadre général permettant aux opérationnels et décisionnels de construire et mettre en œuvre l’ensemble des procédures nécessaires à l’application homogène de la politique de sécurité, afin de garantir la protection du système d’information.
![\"MacBook](\"http://secondbrain.com/static/0.5.0.24561/images/screenshots%2fmac-air.jpg\")
]
