1. MANAGEMENT SI
Point de vue : Optimisation de la politique de sécurité
Septembre 2014
2. MANAGEMENT SI
Bureau de Paris et siège social
Pavillon Bourdan
11-13 avenue du Recteur Poincaré • 75016 Paris
Tél. : +33 1 44 30 90 00
conseilsi@beijaflore.com
Maxime de Jabrun Vice President, Head of Cyber Risk&Security 11-13 avenue du Recteur Poincaré 75016 Paris Tél. : +33 1 44 30 91 95 mdejabrun410@beijaflore.com
www.beijaflore.com • http://blogrisqueetsecurite.beijaflore.com
3. MANAGEMENT SI
3
Copyright Beijaflore Group
Des questions et objections récurrentes révélatrices d’un dysfonctionnement du corpus documentaire sécurité
Je souhaite devenir administrateur de mon poste, est-ce possible ?
Quelle est la position de la sécurité sur le sujet Y ?
Le document A et le document B sont contradictoires, quelle est la bonne version ?
Mon métier veut déployer la nouvelle tablette X, mais la sécurité ne s’est pas encore positionnée sur son utilisation, que faire ?
Où puis-je trouver une information à jour ?
Quelles exigences de sécurité me sont applicables ?
Comment montrer au régulateur que nous intégrons ces exigences sur la confidentialité des données ?
Les documents sont trop complexes
Je ne sais pas comment mettre en oeuvre les exigences de sécurité qui me sont imposées
Les exigences de sécurité sont trop contraignantes pour mon métier
4. MANAGEMENT SI
4
Copyright Beijaflore Group
7 enjeux majeurs sont rattachés à un corpus documentaire sécurité performant
Assurer l’alignement des exigences de sécurité à la stratégie de l’entreprise et homogénéiser les exigences de sécurité applicables à tous
Améliorer la lisibilité des exigences sécurité, la recherche et l’accès à l’information et garantir cohérence d’ensemble des documents
Améliorer l’agilité du
corpus de règles sécurité
Démontrer le respect des exigences réglementaires
Faciliter l’appropriation
des règles par les métiers
Garantir la couverture des risques transverses majeurs de l’entreprise
Simplifier la transposition opérationnelle des règles et leur applicabilité
Performance du corpus documentaire sécurité
5. MANAGEMENT SI
5
Copyright Beijaflore Group
Limite d’opposabilité du corpus
•Documents thématiques sur les exigences de sécurité (2 à 3 ans)
•Validation par la filière SSI et les acteurs impactés par la thématique
•Objectifs spécifiques, rôle et responsabilités, modèle organisationnel
•Documents fondateur du corpus documentaire sécurité (3 à 5 ans)
•Validation par l’executif de l’entreprise
•Enjeux, stratégie SSI, objectifs globaux, rôle et responsabilités
•Documents sur les exigences de sécurité portant sur les modalités / moyens d’atteinte des objectifs (1 à 1,5 ans)
•Validation par la filière SSI et les acteurs impactés du périmètre
•En lien avec les technologies et l’oganisation courante (implémentation locale du modèle organisationnel)
•Document d’aide et d’accompagnement (durée de vie variable)
•Collection de bonnes pratiques pouvant être mises en oeuvre
// PSSI et note de gouvernance
// Guides
// Politiques thématiques
// Standards de sécurité
Notre conviction : Structurer le corpus documentaire en strates pour répondre aux besoins variables de pérennité des documents et de granularité des informations fournies
6. MANAGEMENT SI
6
Copyright Beijaflore Group
Attentes
métiers
Arbitrages
SSI
Besoins
exprimés par les métiers
Risques
portés par l’entreprise
Classement thématique
Notre conviction : un document de politique doit répondre aux besoins de couverture des risques de l’entreprise et des métiers
7. MANAGEMENT SI
7
Copyright Beijaflore Group
Formaliser et arbitrer le besoin
Cadrer la production du document grâce à la fiche de cadrage
Produire et vérifier l’applicabilité par le sachant technique
Valider et approuver par les métiers
Publier et communiquer
Maintenir le document
5
4
1
3
2
6
Notre conviction : un processus collaboratif de gestion du corpus documentaire pour assurer l’adhésion des métiers et son applicabilité
8. MANAGEMENT SI
8
Copyright Beijaflore Group
Garantir la continuité dans le changement
Documents et exigences
de sécurité existants
Risques, plan de
contrôles, exigences réglementaires, juridiques
Documents opérationnels
Capitaliser sur les réalisations SSI tierces
Garantir l’applicabilité des exigences
Documents d’autres
métiers et best
practices du marché
Procédure de sécurité du métier 1
Procédure de sécurité du métier 2
Norme du métier 1
Norme du métier 1
Politique du métier 1
Politique du métier 2
Exigences réglementaires du métier 1
Exigences réglementaires du métier 2
Stratégie de l’entreprise
Politique de gestion des risques
Exigences juridiques
Exigences réglementaires
Plan de contrôle
PSSI existantes
FAQ existantes
Prise de position e-mail
Procédures opérationnelles
Guides de durcissement
Manuels fournisseurs
Intégrer les stratégies des autres filières
Notre conviction : Capitaliser sur les documents et best practices existants afin d’accélérer la production et d’assurer la transition avec les « legacy »
9. MANAGEMENT SI
9
Copyright Beijaflore Group
•Explication de la stratégie et des enjeux de l'entreprise couverts par la politique
•très courte (une page maximum)
•destinée principalement au top management
•Description de l’ensemble des règles de la politique
•plus longue (dix pages maximum)
•doit être pragmatique et alignée sur les métiers de l’entreprise
•sert de guide pour être déclinée de manière opérationnelle par l’ensemble des métiers de l’entreprise
Lectorat cible et périmètre d’applicabilité
Informations de publication
Les données « pratiques »
Table des matière en première page Donne la structure du document
Executive summary
Permet de rapidement connaître le contenu d’un document
Titre encadré
Premier élément visible de la page
Bonne pratique
Logotypage des exigences
Augmente la visibilité des exigences dans le document
Summary Permet de rapidement connaître les concepts clefs d’un paragraphe
Marge importante
Permet au lecteur de prendre des notes
// chaque politique doit être déclinée en deux parties
Notre conviction : pour être efficace, un document de politique de sécurité doit être court, lisible et opérationnel
10. MANAGEMENT SI
10
Copyright Beijaflore Group
Focus sur la production et la validation d’un document
Groupe Corpus : groupe de travail représentatif de la filière SSI constitué pour le projet de refonte du corpus documentaire Sécurité
Rédaction du draft
Relecture
Expert
Relecture SSI
Relecture groupe Corpus
Relecture SSI
Draft document
Draft document
mis à jour
Draft document mis à jour
Arbitrages,
Validation
RSSI
Approbation
Document Mis à jour
Note de communication
et Fiche synthèse
Publication
document
Documents SSI et Fonctions Groupe
Documents réutilisables de la filière SSI
Normes et standards publics
Analyse de cohérence des documents
Expression des besoins de la filière
Bonnes pratiques Beijaflore (B-Community)
Définition des besoins vue SSI
Arbitrages
Cadrage
Rédaction
Validation
Cadrage par l’Expert du document
cible :
Plan détaillé et contenu
11. MANAGEMENT SI
11
Copyright Beijaflore Group
Notre conviction : Favoriser le traitement complet des thématiques pour fournir une vision exhaustive des exigences de la sécurité : de la stratégie à l’opérationnel
Nous préconisons de traiter quelques thématiques sur l’ensemble des niveaux documentaires, plutôt que de disperser les efforts sur le traitement d’un grand nombre de thématiques en parallèle
Thématique de sécurité à traiter
PSSI & Gouvernance
Politique thématique
Standards de sécurité
Guides
Approche verticale
« Top – Down »
12. Copyright Beijaflore Group MANAGEMENT SI 12
La rédaction des standards de sécurité doit reposer sur les sachants
opérationnels et leur applicabilité doit être éprouvée par des pilotes
Nommer 10 sachants
opérationnels appartenant à des
périmètre distincts pou rédiger
des standards de sécurité :
production, équipe technique
Identifier un
collège de
sachants
opérationnels
Éprouver chaque standard de
sécurité sur un périmètre
distinct de celui du rédacteur
Mettre à jour le document
Fournir un modèle de document
(format & structure) standardisé
au sachants
Faire rédiger une première
version du document
Collecter les
bonnes pratiques
locales
Collecter les bonnes pratiques connues
localement par les sachants ou dans leur
environnement proche
Rédiger les
standards suivant
le modèle défini
Réaliser un
pilote
Valider et
déployer
globalement les
standards
Valider les standards sur
l’ensemble des périmètres et
les déployer
Meilleure applicabilité des
standards définis
Autonomie locale
renforcée
Appropriation plus forte
par les opérationnels
13. MANAGEMENT SI
13
Copyright Beijaflore Group
En synthèse : Nos convictions en matière de politique de sécurité
Soutien de la DG
Nécessité d’une démarche globale de management de la sécurité de l’information dans l’entreprise
Spécification de la politique de sécurité en fonction des activités de l’entreprise et des besoins sécuritaires
PSSI en accord avec le business
Adaptation du vocabulaire et du format des documents de politique diffusés en fonction du public visé
Communication ciblée
Intégrer les résultats des contrôles de déploiement des politiques pour optimiser les exigences
Processus d’amélioration
Participation des experts Sécurité et des représentants métiers dans l’élaboration, la validation et la révision du corpus documentaire sécurité
Implication de tous les acteurs
Présentation d’un cadre documentaire clair qui traite chaque sujet selon différents niveaux
Clarté de la PSSI
Plus un document est fondamental plus sa durée de vie est grande
Durée de vie des documents