Gouvernance de la sécurité du SI : définition, enjeux et perspectives

019-gouvernance-de-la-securite-du-si

Fuite de données, cyberattaque, vol d’un ordinateur professionnel… Confrontées à de multiples risques, les organisations sont pourtant tenues d’assurer la protection de leurs actifs informationnels d’une potentielle utilisation, modification, divulgation ou encore destruction non autorisées. Dans ce contexte, quels sont les risques pour les organisations ? Quel est l’intérêt d’établir une gouvernance dédiée à la sécurité du SI ? Et surtout, comment mettre en place une telle stratégie ? Réponses.

La gouvernance de la sécurité du SI : une démarche globale

Démarche holistique, la gouvernance de la sécurité du système d’information vise à garantir la protection de l’ensemble des actifs informationnels d’une organisation. Elle regroupe ainsi :

  • Des moyens techniques : par exemple le cryptage de certaines données ou encore la mise en place de pares-feux ;
  • Des moyens opérationnels : comme l’instauration d’un Plan de Continuité d’Activité (PCA) ;
  • Des moyens organisationnels : tels que l’instauration d’une règle visant à changer régulièrement les mots de passe.

Pourquoi mettre en place une politique de sécurité de l’information ?

Pour la plupart des organisations, la data est essentielle pour mener à bien leur activité. Mettre en place une gouvernance de la sécurité du SI s’apparente donc à un enjeu de premier plan pour préserver la bonne santé des organismes.

Des risques multiples

Les organisations s’exposent à des risques variés en matière de protection des systèmes d’information. Et si le risque cyber prend une place importante – notamment avec l’augmentation des cyberattaques – il est important de rappeler que la menace peut également être physique et interne à l’organisation.

Par exemple, un système d’information peut être menacé par :

  • Un vol de données physique ;
  • Une suppression malencontreuse de contenus par un collaborateur ;
  • Un incendie dans les locaux de l’entreprise.

C’est pourquoi, les organisations ont intérêt à définir un processus global de protection des SI prescrivant des mesures pour pallier les risques technologiques, procéduraux et humains.

Sécurité du SI : une préoccupation permanente

Autre difficulté pour les organismes : l’évolution quasi constante des menaces et par conséquent, l’apparition de nouvelles vulnérabilités. L’émergence de formes d’attaques inédites, l’ouverture du système d’information à de nouveaux utilisateurs ou encore l’évolution des processus en fonction des besoins de l’organisme démontrent bien que l’entreprise peut se retrouver vulnérable à tout instant si elle n’adapte pas sa gouvernance.

C’est pourquoi, il est nécessaire de penser une stratégie de la sécurité du SI sur la durée qui ajuste ses exigences en fonction des nouvelles menaces.

Gouvernance de la sécurité du SI : un moyen d’assurer la sécurité de l’information à tous les niveaux de l’entreprise

Du fait de son caractère global et régulier, la gouvernance de la sécurité des systèmes d’information permet d’assurer :

  • La gestion stratégique de la sécurité du SI ;
  • La protection des actifs informationnels ;
  • L’identification et la réduction des risques ;
  • La mise en conformité du SI aux obligations légales et réglementaires.

Lire aussi : Mise en conformité RGPD : par où commencer ?

Gouvernance de la sécurité du SI : comment s’y prendre ?

Vous l’aurez compris, la protection de la sécurité du SI est un enjeu essentiel pour les organisations. Voici le b.a.-ba pour mettre en place une gouvernance efficace.

Mener une double approche à la fois proactive et réactive

Pour atteindre ses objectifs, une gouvernance doit s’appuyer sur une double approche, à la fois :

  • « Top Down » (ou proactive) : qui vise à anticiper la protection des actifs informationnels de l’organisation par exemple avec la mise en place de référentiels de sécurité (norme ISO 27001, SOX, Bâle II…) ou via l’instauration d’un PCA (Plan de Continuité des Activités).
  • « Bottom-up » (ou réactive) : qui assure la mise en œuvre des innovations techniques de sécurité pour contrer les risques notamment en installant des pares-feux ou des antivirus sur les appareils électroniques de l’organisme.

Agir avec méthode

Pour être efficace, une gouvernance de la sécurité du SI doit être exhaustive. C’est pourquoi, il est nécessaire d’agir avec rigueur et méthode lors de sa mise en place. Voici les principales étapes à respecter :

  • Définir un cadre de gouvernance : avant tout chose, il est essentiel d’établir clairement les stratégies, procédures, outils, documents et budgets alloués à la stratégie de protection du SI.
  • Mettre en place un Système de Management de la Sécurité de l’Information (SMSI) qui soit le bon compromis entre le risque encouru et l’activité de l’organisation.
  • Etablir des objectifs précis : ils permettent notamment de mesurer l’évolution du degré de vulnérabilité de l’organisme concerné.
  • Répartir les rôles : par exemple en différenciant les rôles du DSI et du RSSI. Cette bonne pratique évite ainsi que la personne en charge de la sécurité du SI endosse une double-casquette et se retrouve tiraillée entre des intérêts divergents.
  • Former et sensibiliser les collaborateurs : La sécurité du SI nécessite que tous les collaborateurs connaissent et respectent les processus établis par le RSSI. La formation et la sensibilisation de tous sont indispensables pour garantir le respect des bonnes pratiques de sécurité.
  • Auditer le SI : L’audit de sécurité informatique identifie les menaces auxquelles l’organisation peut être confrontée. Ce diagnostic du niveau de sécurité du SI révèle ainsi des vulnérabilités potentielles et aide à créer un plan d’action afin de les corriger.
  • Mettre en place et assurer le maintien en continu des bonnes pratiques : c’est-à-dire, s’assurer du traitement et du contrôle des exigences de sécurité au niveau organisationnel, fonctionnel, et opérationnel sur le long terme.

Lire aussi : Sécurité des systèmes d’information : 10 bonnes pratiques à appliquer

sécurité ci gestion de crise cyber

S’entourer de professionnels

Un processus aussi complexe et aussi important que la gouvernance de la sécurité du SI nécessite la plupart du temps l’accompagnement de spécialistes. Objectivité et expertise sont en effet d’une aide précieuse pour garantir la sécurité pragmatique du SI.

En tant que société de conseil en système d’information et en transformation digitale, Netsystem est en mesure de vous apporter un soutien complet dans la sécurisation de votre SI. De l’audit de sécurité informatique à la mise en place des bonnes pratiques, en passant par l’externalisation du RSSI, nous nous adaptons à chaque situation pour une mise en sécurité complète et durable de votre SI. Vous souhaitez en savoir plus ? Contactez-nous !