![](https://talesofsecurity.com/wp-content/uploads/2021/07/11-857x400.jpg)
La sécurité de l’information est un domaine d’expertise très vaste, et les sujets sont tellement divers et inhérents à toutes les activités de l’entreprise, qu’il est parfois possible de se décourager face à la charge de travail et les compétences qui sont nécessaires pour construire un système d’information robuste.
Heureusement, de multiples frameworks et standards sont connus sur le marché et permettent de guider chaque expert au travers d’approches structurées et produisant des résultats cohérents.
Voici nos 11 conseils pour bien prendre en main ses nouvelles fonctions de RSSI :
1 – Comprendre le contexte de l’organisation
Vous devriez être capable de répondre à toutes les questions ci-dessous :
Comment est structurée l’organisation ?
Quels sont les enjeux ?
Qu’est-ce que l’organisation essaie de résoudre sur le marché ?
Quels sont les objectifs commerciaux ?
Qui détient le pouvoir de décision ?
Qui sont les leaders de chaque équipe ?
Existe-t-il des réglementations ou des normes applicables ? (RGPD, PCI-DSS, HDS, …)
Où trouver habituellement les réponses :
- Contactez votre N+1,
- Demandez à vos coéquipiers (côté client),
- Interrogez les autres équipes.
2 – Établir des relations durables au sein de l’organisation
Identifiez vos alliés, c’est-à-dire ceux qui sont prêts à promouvoir la sécurité et à la diffuser dans toute l’organisation, et faites-en vos champions.
Planifier des discussions avec chaque leader et/ou champion, à une certaine fréquence (ces discussions doivent être bien préparées avec un ordre du jour)
Reportez régulièrement votre N+1 pour lui donner de la visibilité sur votre livraison et l’avancement de la feuille de route sécurité
Planifier un bilan de sécurité annuel destiné à rendre compte à la haute direction de la posture de sécurité de l’organisation et les conseiller sur ce qui devrait être fait l’année suivante.
3 – Suivre un framework connu
Si votre organisation est obligée de suivre un certain cadre, vous devez vous assurer qu’elle s’y conforme
Indépendamment de tout cadre imposé, une bonne pratique lors de la première mise en œuvre de la sécurité est de suivre les exigences de la norme ISO27001.
4 – Identifier tous les actifs de l’organisation
Les actifs peuvent être de tout type : physiques, logiques, informationnels..
Chaque actif doit appartenir à une équipe (ou au chef d’équipe lui-même)
La liste des atouts doit être construite en collaboration avec toutes les équipes
5 – Effectuer une analyse des risques
Nous vous conseillons de suivre la méthodologie EBIOS RM fournie par l’autorité française, qui détaille très clairement toutes les étapes
Si vous avez besoin d’accompagnement sur cet aspect, vous pouvez contacter l’équipe Gouvernance pour vous former sur cette méthodologie
En tant que bonne pratique, la portée de la toute première analyse des risques doit couvrir l’ensemble de l’organisation.
6 – Construire une feuille de route prenant en compte à la fois les risques à couvrir, et les opportunités business
Proposer des objectifs à atteindre en termes de sécurité.
Estimer le coût de mise en œuvre de cette feuille de route.
Obtenir son approbation dans un comité de pilotage comprenant au moins un membre de la haute direction.
Communiquer à toutes les parties prenantes.
7 – Sensibiliser les collaborateurs
Etablir des sessions de formation destinées à se présenter à toutes les équipes, expliquer la finalité d’une équipe de sécurité, montrer les bonnes pratiques à appliquer
Comme bonne pratique, il devrait y avoir une session de formation pour chaque nouveau venu et une session de formation globale une fois par an, pour l’ensemble de l’organisation.
Pour aller plus loin : Les entraînements peuvent être fractionnés par équipe, et adaptés au contexte de chaque équipe
8 – Notez toutes les politiques de sécurité pertinentes
Il devrait y avoir une PSI (Politique de sécurité de l’information) qui définit toutes les politiques dans toute l’organisation et est divisée en procédures.
Astuce pour rédiger la documentation : Politiques = Que faire = À construire en collaboration avec le management, Procédures = Comment faire = À construire en collaboration avec les opérationnels
9 – Déterminer les KPI pertinents
Il doit y avoir au moins deux niveaux de KPI :
- Les opérationnels, destinés à suivre la maturité du système d’information, ses éventuels écarts et son efficacité.
- Les stratégiques, destinés à suivre les progrès vers les objectifs définis et convenus en commun avec la haute direction
10 – Établir un plan de contrôle
- Toutes les actions récurrentes doivent être répertoriées à l’intérieur de ce contrôle
- Comme bonne pratique, pour commencer, il devrait y avoir un contrôle selon les exigences de l’annexe A de la norme ISO27001.
- Tester et auditer régulièrement votre système d’information.
11 – Améliorer les processus
- Une fois les mesures pertinentes mises en œuvre et testées, elles devraient être améliorées à un certain rythme
- Vous devez mener une veille cyber dédiée pour être informé des nouvelles tendances en termes de pratiques ou de menaces
- Construire un réseau d’experts en cyber sécurité, afin d’être challengé régulièrement et de connaître l’état du marché (cela peut passer par l’adhésion à des clubs spécialisés)
Et vous ?
Quelle est votre approche pour adresser le sujet de la sécurité de l’information dans votre entreprise ? Auriez-vous ajouter des points supplémentaires aux 11 précédents ?
Nous aidons les entreprises à améliorer leur posture cyber, en leur mettant à disposition une plateforme de gestion des risques ainsi que des profils d’experts sécurité qualifiés. Si vous avez un besoin d’accompagnement, n’hésitez pas à nous contacter à l’adresse : [email protected]