Démarche générale

Pour sécuriser les systèmes d’information, la démarche consiste à :

évaluer les risques et leur criticité
quels risques et quelles menaces, sur quelles données et quelles activités, avec quelles conséquences ?
On parle de « cartographie des risques ». De la qualité de cette cartographie dépend la qualité de la sécurité qui va être mise en œuvre.
rechercher et sélectionner les parades
que va-t-on sécuriser, quand et comment ?
Étape difficile des choix de sécurité : dans un contexte de ressources limitées (en temps, en compétences et en argent), seules certaines solutions pourront être mises en œuvre.
mettre en œuvre les protections et vérifier leur efficacité
C’est l’aboutissement de la phase d’analyse et là que commence la protection du système d’information. Une faiblesse fréquente de cette phase est d’omettre de vérifier que les protections sont bien efficaces (tests de fonctionnement en mode dégradé, tests de reprise de données, tests d’attaque malveillante, etc.)

Source : https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information