Définition des besoins en terme de sécurité de l'information

Décembre 2016

Phase de définition


La phase de définition des besoins en terme de sécurité est la première étape vers la mise en oeuvre d'une politique de sécurité.

L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des lieux du système d'information, puis d'étudier les différents risques et la menace qu'ils représentent afin de mettre en oeuvre une politique de sécurité adaptée.

La phase de définition comporte ainsi trois étapes :

  • L'identification des besoins
  • L'analyse des risques
  • La définition de la politique de sécurité

Identification des besoins


La phase d'identification des besoins consiste dans un premier temps à faire l'inventaire du système d'information, notamment pour les éléments suivants :

  • Personnes et fonctions ;
  • Matériels, serveurs et les services qu'ils délivrent ;
  • Cartographie du réseau (plan d'adressage, topologie physique, topologie logique, etc.) ;
  • Liste des noms de domaine de l'entreprise ;
  • Infrastructure de communication (routeurs, commutateurs, etc.)
  • Données sensibles.




Analyse des risques


L'étape d'analyse des risques consiste à répertorier les différents risques encourus, d'estimer leur probabilité et enfin d'étudier leur impact.

La meilleure approche pour analyser l'impact d'une menace consiste à estimer le coût des dommages qu'elle causerait (par exemple attaque sur un serveur ou détérioration de données vitales pour l'entreprise).

Sur cette base, il peut être intéressant de dresser un tableau des risques et de leur potentialité, c'est-à-dire leur probabilité de se produire, en leur affectant des niveaux échelonné selon un barème à définir, par exemple :

  • Sans objet (ou improbable) : la menace n'a pas lieu d'être ;
  • Faible : la menace a peu de chance de se produire ;
  • Moyenne : la menace est réelle ;
  • Haute : la menace a de grandes chances de se produire.

Définition de la politique de sécurité


La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en oeuvre pour les assurer.

La politique de sécurité définit un certain nombre de règles, de procédures et de bonnes pratiques permettant d'assurer un niveau de sécurité conforme aux besoins de l'organisation.

Un tel document doit nécessairement être conduit comme un véritable projet associant des représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu'il soit accepté par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum d'impact.

Méthodes


Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité. Voici une liste non exhaustive des principales méthodes :



A voir également :


Definition of Needs in Terms of IT Security
Definition of Needs in Terms of IT Security
Definición de necesidades en términos de seguridad informática
Definición de necesidades en términos de seguridad informática
Definizione dei bisogni in termini di sicurezza informatica
Definizione dei bisogni in termini di sicurezza informatica
Definição das necessidades de termos de segurança informática
Definição das necessidades de termos de segurança informática
Ce document intitulé «  Définition des besoins en terme de sécurité de l'information  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.