SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow TPE PME/PMI arrow Par ou commencer ?
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Par où commencer ? Convertir en PDF Version imprimable Suggérer par mail
11-12-2007
Vous êtes dirigeant d'une PME/PMI en pleine évolution, et vos projets de croissance et de rentabilité occupent toute votre attention.
Votre système d'information et ses capacités de communication notamment via Internet sont devenus indispensables au bon fonctionnement de votre entreprise et à ses échanges avec vos clients, fournisseurs et partenaires.
Vous avez plusieurs serveurs des dizaines de postes de travail fixes ou mobiles et un responsable informatique brillant ... mais débordé.
Il est en charge à la fois : des choix fonctionnels et applicatifs, des choix techniques, du support quotidien aux utilsateurs et doit prévoir la mise en oeuvre du futur ERP.
Votre expert comptable ou votre commissaire aux comptes vous a rappelé récemment un certain nombre d'obligations qui étaient les votres; notamment celles liées à la mise en oeuvre de votre système d'information et concernant les aspects réglementaires et juridiques, voire d'information vis à vis de vos actionnaires, .
Le dernier audit du système d'information est alarmant : que se passerait-il en cas de panne ou de sinistre majeur ?
Vous êtes décidé à faire évoluer la sécurité, la fiabilité et la conformité de votre informatique.
Mais par ou commencer ?
Nous vous proposons une démarche en 5 étapes :
1 - Audit des vulnérabilités de votre système d'information : durée 2 jours.
Objectif : déceler les défaillances organisationnelles et technique en fonction d'un référentiel international :ISO 27002 devenu aujourd'hui la référence dans ce domaine.
Résultats : Mise en évidence des principales lacunes, des mesures de sécurité à renforcer en fonction des besoins de sécurité analysés.
2 - Construction d'un plan d'action sécurité en fonction des résultats de l'audit : durée 2 jours.
Objectif : ordonnancer par ordre de priorité et valoriser les couts associés à la mise en place des mesures de sécurité
Résultat : disposer d'un plan de bataille, d'une évaluation des priorités, des couts et d'un planning.
3 - Mise en place d'une politique de sécurité et d'une charte informatique : durée 2 jours.
Objectif : La sécurité devient un acte managérial partagé avec tous les acteurs de votre entreprise et vous couvrez le risque juridique associé à un l'usage de votre système d'information et d'internet par vos personnels.
Résultat : La Charte sera annexée au règlement intérieur après discussion avec le CE, les droits et devoirs de tous vis à vis de la sécurité sonts connus de tous, vos employés sont vos alliés.
4 - Plan de mise en oeuvre des principales mesures de sécurité du plan d'action : durée pluri-annuel, charge généralement constatée : 0,3 à 0,5 ETP la première année, 0,25 ETP l'année suivante.
Objectif : Traiter la sécurité en mode projet : Ce plan va vous permettre de contôler (coût, délais, qualité) la mise en oeuvre progressive des mesures indispensables comme :
  • l'organisation de la sécurité : qui va faire quoi, comment sera auditée ma sécurité...,
  • la classification et le contrôle des actifs : ce qui est vital, important ou sensible,
  • la sécurité liée aux personnes et aux tiers, notamment à l'embauche, en cours ou en fin de contrat...,
  • la sécurité physique et la sécurité de l'environnement, ou comment sont protégés physiquement mes actifs sensibles, de jour comme de nuit,
  • la sécurité liée à l'exploitation et à la sauvegarde des données sensibles, à la protection des communications et des réseaux...,
  • la sécurité liée aux accès logiques (qui a le droit de faire quoi et quand ?...)
  • la sécurité liée aux développements internes ou à l'acquisition de progiciels externes et à leur maintenance,
  • la gestion des incidents de sécurité : que faire si un incident de sécurité arrivait ? (par exemple un virus ou une malveillance),
  • le plan de reprise d'activité en cas de sinistre grave : comment continuer mon activté en cas de destruction de mes actifs sensibles ?,
  • la conformité juridique et règlementaire de la sécurité.
Résultat : Cette charge, variable en fonction des résultats de l'audit initial peut être étalée sur 1 à 2 ans.
Généralement, il apparaît que la mise en oeuvre des mesures les plus efficaces est atteinte en moins de 3 mois (il existe de nombreux outils techniquement éprouvés) et que d'autres mesures de type organisationnelle ne réclament souvent que quelques jours de charges pour être mises en place efficacement.
Enfin, il est utile de penser à sous-traiter ou "externaliser" certaines mesures (surveillance active des réseaux, protection des messageries par exemple) afin de concentrer l'énergie de vos ressources sur votre coeur de métier.
5 - Audit régulier de la sécurité : charge 1 jour par an
objectif : adapter sans cesse la sécurité aux évolutions technologiques et réglementaires
Résultat : mise en place d'un cercle vertueux (comparable à vos efforts permanents sur la qualité).

Dernière mise à jour : ( 28-04-2008 )
Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.