SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow Management SSI arrow Organisation Sécurité
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formation
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Janua
Stédia-consulting
Syndicate
Vendredi 12 Mars 2010
Advertisement
Organisation de la sécurité Convertir en PDF Version imprimable Suggérer par mail
14-11-2005
L'organisation de la sécurité doit rester en adéquation avec les moyens de l'entreprise et la structure pouvant être mise en place dans une grande entreprise, éventuellement organisée sur plusieurs pays, n'aura rien à voir avec celle d'une Petite voire Moyenne Entreprise.
Cependant, il faut se rappeler que les risques sont indépendants de la taille de l'entreprise et dès lors qu'il peut s'agir de sa survie, ils sont, toutes proportions gardées, plus élevés pour une PME du fait justement de la limitation des moyens pouvant être investis en sécurité. Les PME conscientes de ce paradoxe se tourneront avantageusement vers des solutions de sécurité mutualisées, sous-traitées ou hébergées.

Principes d'organisation :

L'organisation de la sécurité dans l'entreprise doit respecter la règle de la séparation des rôles entre :
  • La responsabilité de la sécurité : Maîtrise d'ouvrage confiée au RSSI, responsable de la sécurité des informations devant la Direction Générale;
  • La responsabilité de la réalisation de la politique de sécurité : Maîtrise d'œuvre souvent confiée à la DSI ou Direction de Systèmes d'Information, responsable de la mise en œuvre des solutions de sécurité inscrites dans le schéma directeur sécurité,
  • Le contrôle de la sécurité : l'Audit ou le Contrôleur indépendant, il est chargé de mener des missions d'audit et de contrôle de l'efficacité et du respect de la politique de sécurité de l'entreprise.
Acteurs et Missions de l'organisation de la sécurité :

Le RSSI : Responsable de la sécurité des informations et du système d'information, il a pour mission de garantir l'intégrité, la confidentialité, la disponibilité et la traçabilité des données de l'ensemble des systèmes d'information de l'entreprise. Il est rattaché au meilleur niveau hiérarchique possible dans l'entreprise et dispose d'un budget spécifique. En vertu des principes évoqués plus haut, il n'est pas sous la responsabilité du DSI. Son action transverse à toutes les organisations de l'entreprise dont l'informatique exigent de lui un certain nombre de savoir-faire et de savoir-être :
  • excellente connaissance de l'analyse et du traitement des risques, capable de gérer un référentiel des actifs et d'en faire approuver la classification en sensibilité (criticité) par les métier selon une approche par les processus,
  • bonne connaissance des métiers de l'entreprise et une curiosité permanente compte-tenu de ses missions de veille technologique,
  • capable de mettre en place avec les métiers des contrôles dont les indicateurs seront remontés directement à la Direction Générale (sans intermédiaires) en vue d'un pilotage effectif des risques d'entreprise,
  • compétences techniques permettant un dialogue avec les spécialistes, notamment système et réseaux de l'informatique,
  • des compétences d'organisateur car il est responsable de la mise en place du schéma directeur de la sécurité dont certains aspects comme les plans de reprise d'activité sont complexes,
  • des compétences de communication pour faire face à ses missions de sensibilisation,
  • des compétences de négociateur, de diplomatie et de management compte-tenu de l'étendue du domaine dans lequel il évolue et de l'aspect transverse de sa mission.

"Au-delà de son excellence technique, le RSSI doit être un professionnel de la communication pour mobiliser son DG ", commente Pascal Antonini, associé Ernst & Young.
Ressources :
on trouvera une excellente définition des rôles et fonctions du RSSI dans le document :  Risk Manager et RSSI : document PDF de 1Mo & 64 pages réalisé par l'AMRAE (Association pour le management des risques et des assurances de l'entreprise) et le CLUSIF (Club de la sécurité de l'information Français).
Un RSSI banque s'exprime suite à l'affaire de la Société Générale : Les Nouvelles du Net :Sécurité et Contrôle dans les Banques : un echec ?

Le Comité Sécurité :

Il est composé d'un responsable de la sécurité informatique (RSI) et d'un responsable sécurité métiers auprès des utilisateurs (RSU) . Animé par le RSSI, il permet de mieux partager les implications de la mise en œuvre de la politique de sécurité entre les deux pôles. Il met au point la réalisation du schéma directeur, décide des priorités, des actions en cours ou des réactions aux incidents de sécurité. Il est responsable de l'organisation des plans de secours.

L'équipe sécurité :

Rassemblant des spécialistes système et réseaux formés aux problématiques de sécurité, elle assure la mise en œuvre technique de la sécurité du système d'information.
Lorsque c'est possible, il est intéressant de développer au sein de l'entreprise une entité permanente ou cellule de veille conforme au modèle du CERT afin de disposer de spécialistes capables d'apporter une réponse rapide suite à la découverte d'une intrusion ou d'une faille de sécurité.

Le Contrôle de la sécurité :

Il s'exerce a trois niveaux :
  • le contrôle utilisateur : il s'agit de l'implication des utilisateurs et de leur hiérarchie pour s'assurer du respect de la politique de sécurité;
  • L' audit interne : il peut être diligenté par les services d'audits internes ou d'audits informatiques,
  • L'audit externe : réalisé par une entité indépendante comme un cabinet spécialisé.
Cellules de veille, cellules de crise : se reporter au chapitre continuité d'activité.

Le RPCA : Responsable du Plan de Continuité des Activités  Métiers :
Le responsable du plan de continuité des activités métiers prépare avec les utilisateurs l'ensemble des dispositions nécessaires pour assurer la reprise des activités de chaque service critique en cas de sinistre majeur.
Il prévoit : Cellule de crise, moyens logistiques et de transports, lieux et moyens matériels de reprise d'activité, plan de retour à la normale en connexion avec le plan de reprise des activités informatiques.
Il assure par des exercices (pas toujours faciles à organiser) le maintien en conditions opérationnelles de ce plan.
Dernière mise à jour : ( 18-03-2009 )
< Précédent   Suivant >
[ Retour ]
Copyright 2005-2009 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.