sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Les enjeux métier de la sécurité de l'information
sp

L'âge de la responsabilité

A une époque où l'on parle d'aligner les processus du Système d'Information sur les enjeux métier, on s'aperçoit, dans le domaine de la sécurité, que beaucoup d'entreprises aimeraient que les problématiques de sécurité soit complètement gérées par la DSI et de leur responsabilité propre.

Pourtant une analyse des enjeux métiers découle du bon sens, les questions sont : "Que peut on craindre ?" et "En cas de sinistre, quelle est la gravité de l'impact pour mon entreprise ?".

La réponse à ces questions sera également un levier important dans la priorisation des budgets sécurité vis à vis de la Direction de l'entreprise.

Mais pour analyser ces enjeux avec des responsables métiers, il est souvent plus facile d'aborder avec eux les impacts d'un sinistre (impacts financiers, d'image de marque, ..) que les causes (quel type de sinistre redouter, quelle probalité).

 

 

 sp spacer

sp

Comment identifier les enjeux et les classer.

Une difficulté dans l'analyse des enjeux est la définition de métriques. Comment considérer que l'indisponibilité de la fonction trésorerie pendant 2 jours est plus grave que l'indisponibilité de la fonction prise de commande ?

Le premier critère est assez facile à déterminer : quel est le coût minimum de l'indisponibilité d'une application (ou d'un sous-ensemble du système d'information). En fonction de cette analyse sur plusieurs durées de cette indisponibilité (1/2 journée, 1 jour, 2 jours ...), on peut assez facilement classifier les enjeux vis à vis du critère de disponibilité.

Attention, en gestion des risques on parle souvent de coût d'impact minimum ou maximum. Le coût maximum intéresse évidemment les assureurs (quel risque prend-il en assurant ce risque), alors que l'intérêt de l'entreprise, en terme de pondération des enjeux est : quel sera le coût moyen si un tel incident se produit.

Pour les autres critères de sécurité (Confidentialité, Preuve, Intégrité, ...), la traduction en coût est souvent plus difficile à obtenir (à combien estime t'on le coût de la divulguation d'une information commerciale ?) mais il est possible d'établir une échelle de criticité de dysfonctionnement.
Par exemple : est ce grave, peu grave ou très grave si ces informations sur mon nouveau produit sont divulguées à mes compétiteurs ?

Ainsi, après une démarche d'analyse des enjeux, la Direction a une bonne cartographie des enjeux de sécurité qui induit également une attente des managers de l'entreprise sur l'organisation d'une politique de sécurité (c'est souvent une prise de conscience des besoins de sécurité et des attentes qui sont formulées par les managers).

pix1 pix2 pix3 pix4