La sécurité de l’information peut se résumer en trois mots, Disponibilité, Intégrité et Confidentialité (DIC). Elle s’intéresse
aux informations et aux données, de différentes natures ( renseignement, événements, faits, brique de connaissance, indication…), de différentes formes (savoir, documents, mots…) et de plus en plus numériques.
Mais la sécurité maximale serait invivable. La protection absolue n’existe pas car elle nous empêcherait de travailler au quotidien. La sécurité est une chaîne dont la résistance dépend du maillon le plus faible. Plus globalement, l’information est une force pour se développer, capter l’information utile (grace à la veille) ou influencer. Mais elle présente un risque. D’où la nécessité de sécuriser cette information sensible, sans pour autant tuer la performance opérationnelle.
La mise en œuvre s’appuie sur trois leviers :
* culture sécurité : responsabilisation, sensibilisation, gestion des droits.
* sécurisation des outils numériques : le physique, les locaux, les machines, puis les systèmes d’exploitation et enfin les terminaux des utilisateurs.
* dispositions de maîtrise proportionnées aux risques : à partir de la politique de sécurité et objectifs associés, analyser les menaces et opportunités et en déduire les dispositions de maîtrise appropriées.
Pour rester pragmatique dans cette mise en œuvre, il faut :
- avoir une démarche maîtrisée tout en restant simple et réaliste.
- donner du sens à la démarche
- impliquer chaque acteur de l’entreprise.
- intégrer les mesures de sécurité aux pratiques du quotidien et au fonctionnement managérial de l’entreprise.
- adopter une démarche ciblée sur les informations les plus significatives,
- mettre en place des dispositions de sécurité répondant aux risques et adaptée aux moyens matériels et humains dont on dispose
- mettre en place une surveillance et attention de chaque instant,
- chercher à optimiser dans la durée.
Le management de la sécurité de l’information s’appuie sur la norme ISO 27001, structurée en trois chapitres introductifs, puis trois chapitres de planification deux chapitres de réalisation et support un chapitre d’évaluation et un chapitre d’amélioration. Le point clé de la norme est son annexe A de 93 mesures (37 Mesures de sécurité organisationnelle, 8 Mesures de sécurité applicables aux personnes, 14 Mesures de sécurité Physique, et 34 Mesures de sécurité technologique et la technique). La principale spécificité est la nécessité de réaliser une analyse de risque basée sur les actifs informationnels. L’élément vital réside dans la nécessité d’établir une déclaration d’applicabilité, document qui démontre la prise en compte de mesures de sécurité type, décrite dans l’annexe A de la norme, et leur pertinence par rapport à l’analyse de risque.
Chez SAS Beeznet, le management de la sécurité de l’information se traduit par une expertise en sécurité de l’information, une charte d’engagement embarquant la sécurité, un registre de traitement et un accès aux données encadrée par des droits, une veille partagée entre experts, la sécurité du système d’information innovant, une démonstration de conformité à iso 27001 (selon l’ISO 17050).
Une approche 100% originale, 100% déposée, 100% beeznet !
Voir présentation du parcours « oui mais moi« .
| Ce contenu a été élaboré en partenariat avec l’Office Ivoirien des Chargeurs, catalyseur d’une logistique nationale moderne et durable au service des chargeurs, organisme qui représente et défend les intérêts des importateurs et exportateurs, usagers des services de transports-logistique dans le cadre de l’acheminement de leurs marchandises. Et qui se distingue par sa capacité à avoir implémenté un système de management d’entreprise intégrant toutes les thématiques de management . |  |
Et avec le soutien inconditionnel de nos membres.
Credit Musical Dystopia par Luke Hall (licence CC BY3.0). Remerciement Pixabay (photos)