Management stratégique de l'information

 
Ce produit n'est plus disponible à la vente

Management stratégique de l'information

Trouvez la bonne information et sachez l'exploiter !

Nous vous recommandons

Weka Intégral Culture & communication

Weka Intégral Culture & communication

Voir le produit

Partie 6 - Fiches pratiques Internet
Chapitre 3 - Sécurité

6.3/2 - Protéger le système d'information

I - Contexte

À l'heure où l'informatique est présente partout, dans chaque service, sur le bureau de chaque employé, tout entrepreneur devrait être conscient qu'il puisse être victime de problèmes informatiques tels que le piratage ou un vol de données. L'enjeu est capital et peut causer des pertes importantes pour l'entreprise. Il convient de mettre en place les dispositifs de protection des données. Cette protection des données revêt à la fois un aspect proactif avec la mise en place des mécanismes de protection et de surveillance, et un aspect réactif lorsqu'un incident de sécurité a été détecté. L'approche, en matière de sécurisation des systèmes d'information, doit reposer sur trois aspects distincts, mais indissociables : la prévention, la détection et la réaction.

II - En pratique

De manière globale, la protection du système d'information passe par trois étapes principales :

  • étape 1 : Prévenir

  • étape 2 : Détecter

  • étape 3 : Réagir

1 - Étape 1 : Prévenir

La prévention consiste à mettre en œuvre toutes les mesures pour se protéger. Elle intègre les actions suivantes :

  • l'analyse des risques ;

  • la définition d'une politique de sécurité ;

  • la mise en œuvre de solutions de protection telles que des Firewalls, des antivirus ou la mise en place de mots de passe ;

  • la sensibilisation des individus.

L'analyse des risques permet d'évaluer les risques qui pèsent sur le système d'information en tenant compte de la criticité des différents actifs de l'entreprise. Le but étant de ramener les risques à un niveau résiduel acceptable pour l'organisation. L'analyse des risques est décrite dans les normes et standards supportés par l'ISO (International Organization For Standardization) et peut être conduite à l'aide de méthodes telles que MEHARI (Méthode harmonisée d'analyse des risques) ou EBIOS (Expression des besoins et identification des objectifs de sécurité).

La démarche d'analyse des risques englobe les étapes suivantes :

  • définition du périmètre de l'analyse ;

  • inventaire et cartographie des actifs ;

  • analyse des vulnérabilités et des menaces ;

  • détermination des risques ;

  • identification des besoins en matière de sécurité ;

  • définition des mesures techniques, organisationnelles et humaines ;

  • élaboration du plan d'action ;

  • mise en place d'une stratégie de sauvegarde des données.

Ce plan d'action entre dans la constitution de la politique de sécurité et se décline en...

Si vous êtes déjà abonné, connectez-vous pour accéder à la publication dans son intégralité.