MANAGEMENT SI Point de vue : Optimisation de la politique de sécurité Septembre 2014
Jul 05, 2015
MANAGEMENT SI
Point de vue :
Optimisation de la
politique de sécurité
Septembre 2014
MANAGEMENT SI
Bureau de Paris et siège social Pavillon Bourdan 11-13 avenue du Recteur Poincaré • 75016 Paris Tél. : +33 1 44 30 90 00 [email protected]
Maxime de Jabrun Vice President, Head of Cyber Risk&Security 11-13 avenue du Recteur Poincaré 75016 Paris Tél. : +33 1 44 30 91 95 [email protected]
www.beijaflore.com • http://blogrisqueetsecurite.beijaflore.com
MANAGEMENT SI 3 Copyright Beijaflore Group
Des questions et objections récurrentes révélatrices d’un
dysfonctionnement du corpus documentaire sécurité
Je souhaite devenir administrateur de mon poste, est-ce possible ?
Quelle est la position de la sécurité sur le sujet Y ?
Le document A et le document B sont contradictoires, quelle est la bonne version ?
Mon métier veut déployer la nouvelle tablette X, mais la sécurité ne s’est pas encore positionnée sur son utilisation,
que faire ?
Où puis-je trouver une information à jour ?
Quelles exigences de sécurité me sont applicables ?
Comment montrer au régulateur que nous intégrons ces exigences sur la confidentialité des données ?
Les documents sont trop complexes
Je ne sais pas comment mettre en œuvre les
exigences de sécurité qui me sont imposées
Les exigences de sécurité sont trop contraignantes pour mon
métier
MANAGEMENT SI 4 Copyright Beijaflore Group
7 enjeux majeurs sont rattachés à un corpus documentaire
sécurité performant
Assurer l’alignement des exigences de sécurité à la
stratégie de l’entreprise et homogénéiser les exigences de
sécurité applicables à tous
Améliorer la lisibilité des exigences sécurité, la recherche et l’accès à l’information et garantir cohérence d’ensemble des documents
Améliorer l’agilité du corpus de règles sécurité
Démontrer le respect des exigences réglementaires
Faciliter l’appropriation des règles par les métiers
Garantir la couverture des risques transverses majeurs de l’entreprise
Simplifier la transposition opérationnelle des règles et
leur applicabilité
Performance du corpus
documentaire sécurité
MANAGEMENT SI 5 Copyright Beijaflore Group
Limite d’opposabilité du corpus
• Documents thématiques sur les exigences de sécurité (2 à 3 ans) • Validation par la filière SSI et les acteurs impactés par la
thématique • Objectifs spécifiques, rôle et responsabilités, modèle
organisationnel
• Documents fondateur du corpus documentaire sécurité (3 à 5 ans)
• Validation par l’executif de l’entreprise • Enjeux, stratégie SSI, objectifs globaux, rôle et responsabilités
• Documents sur les exigences de sécurité portant sur les modalités / moyens d’atteinte des objectifs (1 à 1,5 ans)
• Validation par la filière SSI et les acteurs impactés du périmètre • En lien avec les technologies et l’oganisation courante
(implémentation locale du modèle organisationnel)
• Document d’aide et d’accompagnement (durée de vie variable) • Collection de bonnes pratiques pouvant être mises en œuvre
// PSSI et note de gouvernance
// Guides
// Politiques thématiques
// Standards de sécurité
Notre conviction : Structurer le corpus documentaire en strates pour
répondre aux besoins variables de pérennité des documents et de
granularité des informations fournies
MANAGEMENT SI 6 Copyright Beijaflore Group
Attentes métiers
Arbitrages SSI
Besoins exprimés par les métiers
Risques portés par l’entreprise
Classement thématique
Notre conviction : un document de politique doit répondre aux besoins
de couverture des risques de l’entreprise et des métiers
MANAGEMENT SI 7 Copyright Beijaflore Group
Formaliser et arbitrer le besoin
Cadrer la production du document grâce à la
fiche de cadrage
Produire et vérifier l’applicabilité par le sachant technique
Valider et approuver par les
métiers
Publier et communiquer
Maintenir le document
5 4
1
3
2
6
Notre conviction : un processus collaboratif de gestion du corpus
documentaire pour assurer l’adhésion des métiers et son applicabilité
MANAGEMENT SI 8 Copyright Beijaflore Group
Garantir la continuité dans le changement
Documents et exigences de sécurité existants
Risques, plan de contrôles, exigences réglementaires, juridiques
Documents opérationnels
Capitaliser sur les
réalisations SSI tierces
Garantir l’applicabilité des exigences
Documents d’autres métiers et best
practices du marché
Procédure de sécurité du métier 1 Procédure de sécurité du métier 2 Norme du métier 1 Norme du métier 1 Politique du métier 1 Politique du métier 2 Exigences réglementaires du métier 1 Exigences réglementaires du métier 2
Stratégie de l’entreprise Politique de gestion des risques Exigences juridiques Exigences réglementaires Plan de contrôle
PSSI existantes FAQ existantes Prise de position e-mail
Procédures opérationnelles Guides de durcissement Manuels fournisseurs
Intégrer les stratégies des autres filières
Notre conviction : Capitaliser sur les documents et best practices existants
afin d’accélérer la production et d’assurer la transition avec les « legacy »
MANAGEMENT SI 9 Copyright Beijaflore Group
• Explication de la stratégie et des enjeux de l'entreprise couverts par la politique • très courte (une page maximum) • destinée principalement au top
management • Description de l’ensemble des règles de la
politique • plus longue (dix pages maximum) • doit être pragmatique et alignée sur
les métiers de l’entreprise • sert de guide pour être déclinée de
manière opérationnelle par l’ensemble des métiers de l’entreprise
Lectorat cible et périmètre d’applicabilité
Informations de publication Les données « pratiques »
Table des matière en première page Donne la structure du document
Executive summary Permet de rapidement connaître le contenu d’un document
Titre encadré Premier élément visible de la page
Bonne pratique
Logotypage des exigences Augmente la visibilité des exigences dans le document
Summary Permet de rapidement connaître les concepts clefs d’un paragraphe
Marge importante Permet au lecteur de prendre des notes
// chaque politique doit être déclinée en deux parties
Notre conviction : pour être efficace, un document de politique de sécurité
doit être court, lisible et opérationnel
MANAGEMENT SI 10 Copyright Beijaflore Group
Focus sur la production et la validation d’un document
Groupe Corpus : groupe de travail représentatif de la filière SSI constitué pour le projet de refonte du corpus documentaire Sécurité
Rédaction du draft
Relecture Expert
Relecture SSI
Relecture groupe Corpus
Relecture SSI
Draft document
Draft document mis à jour
Draft document mis à jour
Arbitrages, Validation
RSSI Approbation
Document Mis à jour
Note de communication et Fiche synthèse
Publication document
Documents SSI et Fonctions Groupe
Documents réutilisables de la filière SSI
Normes et standards publics
Analyse de cohérence des documents
Expression des besoins de la filière
Bonnes pratiques Beijaflore (B-Community)
Définition des besoins vue SSI
Arbitrages
Cad
rage
Réd
action
V
alidatio
n
Cadrage par l’Expert du document
cible : Plan détaillé et contenu
MANAGEMENT SI 11 Copyright Beijaflore Group
Notre conviction : Favoriser le traitement complet des thématiques pour
fournir une vision exhaustive des exigences de la sécurité : de la stratégie à
l’opérationnel
Nous préconisons de traiter quelques thématiques sur l’ensemble des niveaux documentaires, plutôt que de disperser les efforts sur le
traitement d’un grand nombre de thématiques en parallèle
Thématique de sécurité à traiter
PSSI & Gouvernance
Politique thématique
Standards de sécurité
Guides
Approche verticale
« Top – Down »
MANAGEMENT SI 12 Copyright Beijaflore Group
La rédaction des standards de sécurité doit reposer sur les sachants
opérationnels et leur applicabilité doit être éprouvée par des pilotes
Nommer 10 sachants opérationnels appartenant à des périmètre distincts pou rédiger
des standards de sécurité : production, équipe technique
Identifier un collège de sachants
opérationnels
Éprouver chaque standard de sécurité sur un périmètre
distinct de celui du rédacteur Mettre à jour le document
Fournir un modèle de document (format & structure) standardisé
au sachants Faire rédiger une première
version du document
Collecter les bonnes pratiques
locales
Collecter les bonnes pratiques connues localement par les sachants ou dans leur
environnement proche
Rédiger les standards suivant le modèle défini
Réaliser un
pilote
Valider et déployer
globalement les standards
Valider les standards sur l’ensemble des périmètres et
les déployer
Meilleure applicabilité des standards définis
Autonomie locale renforcée
Appropriation plus forte par les opérationnels
MANAGEMENT SI 13 Copyright Beijaflore Group
En synthèse : Nos convictions en matière de politique de sécurité
Soutien de la DG Nécessité d’une démarche globale de management de la sécurité de l’information dans l’entreprise
Spécification de la politique de sécurité en fonction des activités de l’entreprise et des besoins sécuritaires
PSSI en accord avec le business
Adaptation du vocabulaire et du format des documents de politique diffusés en fonction du public visé
Communication ciblée
Intégrer les résultats des contrôles de déploiement des politiques pour optimiser les exigences
Processus d’amélioration
Participation des experts Sécurité et des représentants métiers dans l’élaboration, la validation et la révision du corpus documentaire sécurité
Implication de tous les acteurs
Présentation d’un cadre documentaire clair qui traite chaque sujet selon différents niveaux
Clarté de la PSSI
Plus un document est fondamental plus sa durée de vie est grande Durée de vie des documents