Planification de la démarche de sécurisation

Étape 1 : Périmètre et Politique
Il est important de prendre en compte les actifs ayant de la valeur en définissant un périmètre du système de management du système d’information. Il peut être orienté sur l’ensemble de l’entreprise, sur un site précis, sur un service en fonction de la stratégie de l’entreprise. Le capital intellectuel des entreprises intègre des informations sensibles, ce patrimoine informationnel doit être protégé. L’entreprise doit donc mettre en place une politique de sécurité des systèmes d’information, de sécurité des données, et des mécanismes d’identification. De plus il faut définir une politique du SMSI, qui est l’engagement de l’entreprise sur un certain nombre de points en matière de sécurité. Ces deux points forment la pierre angulaire du SMSI, dans le but d’établir la norme ISO/CEI 27001 et ainsi d’apporter la confiance aux parties prenantes.

Étape 2 : Évaluation des risques
Tenter de sécuriser un système d’information revient à essayer de se protéger contre les menaces intentionnelles2 et d’une manière plus générale contre tous les risques pouvant avoir une influence sur la sécurité de celui-ci, ou des informations qu’il traite.

Méthode d’analyse des risques
Différentes méthodes d’analyse des risques sur le système d’information existent. Voici les méthodes d’appréciation des risques les plus courantes :

En France, la première méthode développée a été Marion. Aujourd’hui elle a été remplacée, même si certaines entreprises ont conservé ce modèle initial, par la méthode Méhari (Méthode harmonisée d’analyse des risques) développée par le CLUSIF, et par la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité) développée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

En Angleterre, Cramm est une méthode d’analyse des risques développée par l’organisation du gouvernement britannique ACTC (Agence centrale de communication et des télécommunications). C’est la méthode d’analyse des risques préférée par le gouvernement britannique, mais elle est également utilisée par beaucoup d’autre pays.

Les États-Unis utilisent OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l’Université de Carnegie Mellon.

À l’international, on utilise ISO/CEI 27005, qui est une norme internationale répondant point par point aux exigences de la certification ISO/CEI 27001. C’est la norme la plus récente, de plus elle est facilement applicable car pragmatique.

Source : https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information