Accueil > Catalogue > Stratégie SI > Réussir son projet de politique de sécurité du (...)

Réussir son projet de politique de sécurité du système d’information

Pour toutes les entreprises, la politique de sécurité du système d’information (PSSI) reflète la vision stratégique et opérationnelle en matière de sécurité du système d’information (SSI). Elle découle de l’appréciation qu’a l’organisme des risques qui l’entourent. La définition d’une politique de sécurité va enclencher un certain nombre de chantiers comme la rédaction de chartes ou la conduite d’analyse de risque. La conduite de ces projets de sécurité est souvent difficile car il est ardu, sans démarche ou temps, de passer de la volonté « contrainte » à la réalisation effective. Le cabinet Infhotep a construit cette formation pour vous apporter une vision pragmatique de ces projets afin de les réussir dans un temps optimal.

A l’issue de la formation, vous saurez :

  • Identifier les concepts clés et enjeux des missions du RSSI
  • Conduire un projet d’élaboration d’une PSSI
  • Mener une analyse de risque

Méthode pédagogique :

Cette formation participative est illustrée de nombreux exemples et exercices. Vous mettrez en œuvre toutes les étapes d’une analyse de risque et d’un projet PSSI depuis la définition du périmètre jusqu’à la définition de vos règles de sécurité.

Jour 1 - Haut

Contexte et enjeux de la sécurité du système d’information

  • Ce chapitre a pour but de restituer le contexte dans lequel on formalise une PSSI et les modalités organisationnelles.
    • Les concepts et enjeux de la sécurité en entreprise
    • Les contraintes règlementaires, organisme de normalisation, le référentiel général de sécurité
    • Votre organisme est-il sensible aux problématiques de sécurité ?
    • Le rôle du RSSI, son périmètre d’intervention et sa place dans l’organisation
    • Exercice pratique d’évaluation de la sensibilité de son établissement

Description de la politique de sécurité

  • Avant tout la PSSI est un document qui décrit votre entité, son contexte et les différents outils à disposition pour piloter les risques.
    • Différence entre la PSSI et le schéma directeur sécurité ou PCA
    • Portée et contenu de la PSSI
    • Définition du contexte et description du SI
    • Le périmètre réglementaire
    • Les différentes règles et échelles pour évaluer les besoins (DICP), les menaces et les impacts
    • Exercice pratique de définition des échelles

L’analyse des besoins et des risques

  • En plus des besoins de sécurité intrinsèques à l’entité, il est important d’avoir une vision des risques majeurs et mineurs qui peuvent l’impacter. Ceci se fait à partir d’une analyse des risques qui permet d’identifier un certain nombre de chantiers.
    • L’analyse des besoins diffère de l’analyse des risques (ateliers métier d’expression de besoin)
    • Identification et évaluation des besoins
    • Pertinence de l’analyse des risques et tour d’horizon des méthodes d’analyse des risques (EBIOS, Méhari)
    • Les différents risques à analyser : ceux relatifs aux systèmes informatiques mais aussi ceux relatifs aux processus métiers, aux ressources humaines, aux moyens logistiques, ou encore aux partenaires
  • Les catégories de menace (accidents, erreurs, malveillances)
    • Evaluation, traitement et acceptation des risques
    • Exercice pratique d’évaluation d’un besoin et d’analyse de risque
Jour 2 - Haut

Règles de sécurité

  • Au travers de l’analyse des risques, on a identifié un certain nombre de règles ou de chantiers de sécurité qui viendront compléter les grands principes de sécurité instanciés en règles propres de l’entreprise. Ces règles sont souvent reprises dans le règlement intérieur ou dans la charte informatique.
    • Ne pas confondre règles de sécurité et solutions
    • Démarche de structuration des règles
    • Cas d’illustration de règles

Organisation et gouvernance de la sécurité au sein de votre établissement

  • La bonne mise en place des règles définies au sein de la PSSI passe par une organisation clairement établie pour piloter, structurer et organiser la sécurité du SI. Les acteurs intervenant en matière de sécurité du système d’information doivent être informés de leurs responsabilités en matière de SSI.
    • Chaîne fonctionnelle de la sécurité du système d’information
    • Les instances de décision
    • Rôle et responsabilités des différents acteurs (personnel, prestataire, AQSSI, RSSI, directeurs,etc.)

Schéma directeur ou plan d’action sécurité

  • A la sortie de la formalisation de la PSSI un certain nombre de chantiers peuvent être identifiés. Ces chantiers doivent être mis en œuvre dans le cadre d’un plan d’action sécurité.
    • Identifier vos projets
    • Principe des fiches projet
    • Ordonnancement des projets
    • Les arguments pour convaincre la direction générale

Principe de contrôle et de conformité de votre PSSI

  • Après avoir élaboré une PSSI, puis mis en œuvre un ensemble de chantiers de sécurité, il est important de régulièrement évaluer la conformité du plan de sécurité.
    • Comment vérifier l’applicabilité et l’efficacité de la PSSI ?
    • Audit de sécurité basé sur la norme ISO 27002
    • Audit technique (tests d’intrusion, de performance...)
    • Maintenir au fil de l’eau sa PSSI à jour
    • Elaborer un tableau de bord de restitution à la direction générale
    • Les indicateurs nécessaires au suivi du bon fonctionnement sécuritaire du système d’information

Sensibilisation, charte informatique et charte administrateur

  • Documents à vocation règlementaire et de sensibilisation, les chartes informatiques et administrateur sont des documents que l’on retrouve souvent dans les établissements avant même l’existence et la formalisation d’une PSSI. Pourtant, tous les trois sont intimement liés.
    • Contenu et positionnement d’une charte informatique
    • Contenu et positionnement d’une charte administrateur

Synthèse et recommandations

  • Nous récapitulons les points clés de la formation et conseillons les participants dans la mise en œuvre de leurs projets de PSSI.
footer