La croissance et la maturité d’une organisation viennent de pair avec l’enjeu de la sécurité des actifs informationnels. Afin de pallier aux failles de sécurité et à leurs conséquences, la mise en œuvre d’un plan de sécurité stratégique permet de réduire les risques et de bien encadrer les pratiques de sécurité à l’intérieur de l’organisation.

L’élaboration d’un tel plan stratégique favorise la mise en place de nouveaux contrôles et processus qui permettront à l’organisation d’être plus alerte face aux différents événements de sécurité.

Bien qu’un plan directeur en sécurité doit être adapté à la réalité et la grosseur de chaque organisation, il doit en tout temps viser deux objectifs différents mais complémentaires :

1 - La gouvernance à mettre en place

2 - Les contrôles et les processus à implanter


Gardien Virtuel utilise le cadre de référence COBIT 5 pour définir le modèle de gouvernance approprié afin que la haute direction d’une organisation puisse définir les objectifs et métriques souhaités pour l’atteinte des résultats visés.


Le cadre de référence ISO 27002, quant à lui, sert à définir les processus et les contrôles à mettre en place afin de diminuer les risques sur les activités de l’entreprise. La direction TI de l’organisation devra s’assurer que ces nouveaux processus et contrôles sont correctement implantés et appliqués en tout temps. Voici certains volets sensibles de la norme ISO 27002 que, règle générale, une organisation doit implanter :

  • 5. Politiques de sécurité de l’information;
  • 7. La sécurité des ressources humaines;
  • 8. Gestion des actifs;
  • 9. Contrôle d’accès;
  • 11. Sécurité physique et environnementale;
  • 12. Sécurité liée à l’exploitation;
  • 13. Sécurité des communications;
  • 14. Sécurité touchant l’acquisition, le développement et la maintenance des applications;
  • 16. Gestion des incidents liés à la sécurité de l’information;
  • 17. Aspects de la sécurité de l’information dans la gestion de la continuité;
  • 18. Conformité aux réglementations et aux exigences légales.

BUTS VISÉS

L’ensemble de cette démarche se fait de façon collégiale avec les intervenants de l’organisation et s’adaptera à la culture de chaque organisation.

  • 1

    Analyse de la situation actuelle pour identifier les écarts

  • 2

    Les écarts et les constats définis permettent d’établir une stratégie globale qui assurera la mise en place de certains scénarios et de certaines recommandations

  • 3

    Plan d’action échelonné sur trois ans pour une mise en place systématique des recommandations