Revue SMART DSI Connexion Newsletter
iTPro.fr

Actualités, Dossiers et Ressources IT Professionnelles - vendredi 19 avril 2024

> Sécurité > Comment élaborer une bonne stratégie de sécurité

Comment élaborer une bonne stratégie de sécurité

Sécurité - Par Norman Girard - Publié le 09 juin 2015
email

Les DSI ont pris note des scénarios de cauchemar que les violations de données peuvent engendrer : vous souvenez-vous de Sony ou de Target ?

Comment élaborer une bonne stratégie de sécurité

Pour combattre ces bombes à retardement, ils ont étoffé leurs budgets de sécurité. L’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University recommande également de mettre en place une stratégie de sécurité que vous pouvez consulter si vos systèmes sont compromis.

Pourquoi avez-vous besoin d’une stratégie de sécurité ?

Une stratégie de sécurité contient des procédures organisationnelles qui vous indiquent exactement quoi faire pour prévenir les problèmes ainsi que la marche à suivre si vous vous trouvez en situation de violation de données. Les problèmes de sécurité peuvent concerner ou engendrer des problèmes de :

  1. Confidentialité : lorsque des personnes obtiennent ou divulguent des informations de manière inappropriée
  2. Intégrité : quand des informations sont altérées ou validées de manière erronée, délibérément ou accidentellement
  3. Disponibilité : avec des informations inaccessibles lorsqu’elles sont requises ou disponibles à plus d’utilisateurs que nécessaire.

En tout cas, disposer d’une stratégie permettra d’assurer que tous les membres du service informatique se trouvent sur la même longueur d’onde en ce qui concerne les processus et procédures de sécurité.

À quoi ressemble une bonne stratégie de sécurité ?

Vous avez peut-être une idée de ce à quoi la stratégie de sécurité de votre entreprise doit ressembler. Mais si vous souhaitez vérifier votre travail ou disposer d’indicateurs supplémentaires, visitez la page consacrée aux modèles de stratégies de sécurité de l’information de SANS. Vous y trouverez vingt-sept stratégies de sécurité à consulter et utiliser gratuitement.

Je les ai examinées et j’ai également effectué quelques recherches sur le net pour savoir à quoi une bonne stratégie de sécurité doit ressembler, et voici les caractéristiques communes à toutes les stratégies de qualité :

  1. Objectifs : des attentes et des buts clairs.
  2. Conformité : les législations fédérales et d’états peuvent faire partie des exigences d’une stratégie de sécurité, et il est donc essentiel de les énumérer.
  3. Dernière date de test : les stratégies doivent constituer une documentation vivante fréquemment contrôlée et remise en question.
  4. Date de dernière mise à jour : les documents d’une stratégie de sécurité doivent être mis à jour pour s’adapter aux changements de l’entreprise, aux menaces extérieures et aux évolutions technologiques.
  5. Contact : les informations contenues dans les stratégies de sécurité sont censées être lues, comprises et mises en application par tous les collaborateurs d’une entreprise et s’il y a des questions, un propriétaire du document doit y répondre.

10 Questions à poser lors de la création de votre stratégie de sécurité ?

Lorsque vous créez une stratégie de sécurité, il est utile de poser des questions parce qu’en y répondant, vous découvrirez ce qui est important pour votre entreprise et vous pourrez discerner les ressources nécessaires pour former et maintenir votre stratégie. Voici quelques questions pour démarrer :

  1. De quelle(s) personne(s) vous faudra-t-il l’approbation ?
  2. Qui sera le propriétaire de cette stratégie de sécurité ?
  3. Quel est le public concerné par cette stratégie ?
  4. Quelles réglementations s’appliquent à votre secteur d’activité (par exemple, GLBA, HIPAA, Sarbanes-Oxley, etc.) ?
  5. Qui a besoin d’avoir accès aux données de votre entreprise ?
  6. Qui possède les données que vous gérez ? Votre entreprise ? Vos clients ?
  7. Combien de demandes d’accès aux données recevez-vous chaque semaine ?
  8. Comment ces demandes sont-elles satisfaites ?
  9. Comment et quand l’accès est-il examiné ?
  10. Comment vous assurer qu’aucun conteneur ne sera ouvert à un groupe d’accès global (Tout le monde, Utilisateurs du domaine, Utilisateurs authentifiés, etc.) sans autorisation explicite des propriétaires de données et de la hiérarchie concernée ?
  11. Comment toutes les activités d’accès seront-elles enregistrées et disponibles pour audit ?
  12. Si des données n’ont pas été consultées depuis 18 mois, comment seront-elles identifiées et restreintes afin que seuls leurs propriétaires y aient accès jusqu’à ce qu’une demande soit formulée par un autre utilisateur ?
  13. Comment harmoniserez-vous votre stratégie de sécurité aux objectifs de l’entreprise ?

Derniers conseils pour élaborer une bonne stratégie de sécurité

Les stratégies de sécurité donnent de meilleurs résultats lorsqu’elles sont concises et vont droit au but. Elles doivent aussi favoriser et répondre aux besoins de l’activité. Grâce à une maintenance régulière, la stratégie de sécurité de votre entreprise contribuera à en protéger les actifs.

Téléchargez cette ressource

Guide de technologie 5G pour l’entreprise

Guide de technologie 5G pour l’entreprise

Pourquoi la 5G est-elle faite pour votre entreprise ? La 5G peut améliorer la vitesse, la fiabilité et la capacité de votre réseau, permettant ainsi une meilleure collaboration, une productivité accrue et une prise de décision plus rapide. Notre livre blanc " The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.

Sécurité - Par Norman Girard - Publié le 09 juin 2015
Découvrir tous les articles de la chaîne Sécurité

Les articles les plus consultés

A travers cette chaîne
A travers ITPro

Les plus consultés sur iTPro.fr

Sur le même sujet

Cybercriminalité : des attaques de plus en plus sophistiquées

Cybercriminalité : des attaques de plus en plus sophistiquées
Les 6 recommandations pour les RSSI

Les 6 recommandations pour les RSSI
Vol de propriété intellectuelle: détecter les copies de répertoires

Vol de propriété intellectuelle: détecter les copies de répertoires
Cybersécurité : Techniques de cartographie Active Directory avec BloodHound

Cybersécurité : Techniques de cartographie Active Directory avec BloodHound
Maintenez votre sécurité dans le temps

Maintenez votre sécurité dans le temps

A lire aussi sur le site

L’IA comme levier d’évangélisation du COMEX à la cybersécurité

Intelligence Artificielle & Comex, mais aussi responsabilité de l’IA, et sécurité des environnements OT … Des sujets au cœur des réflexions des équipes cybersécurité. Raphaël Marichez, CSO France et Europe du Sud chez Palo Alto Networks s’est prêté au jeu des Questions/Réponses.
Revue Smart DSI

La Revue du Décideur IT

Les Dashboards de données : une promesse d’efficacité et d’innovation dans son écosystème

Découvrez comment les dashboards peuvent transformer le partage des données en un avantage stratégique, en révolutionnant l'efficacité et l'innovation au sein de votre organisation et de votre écosystème

A la Une des Ressources IT

Inscrivez-vous !
Guide de technologie 5G pour l’entreprise

Guide de technologie 5G pour l’...

Découvrir Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement ...

Découvrir Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Découvrir Préparer l’entreprise aux technologies interconnectées

Préparer l’entreprise aux techn...

Découvrir Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’appr...

Découvrir