Pour sécuriser les systèmes d’information, certains agissent sur la technique alors que d’autres privilégient le management. Quelle que soit l’approche, les questions liées à la sécurité opérationnelle se posent très vite : quels processus mettre en place ? À quel niveau les gérer, comment les formaliser, comment s’assurer que ces processus fonctionnent correctement dans la durée ?
En abordant des questions telles que la sécurité des réseaux, la maîtrise du cloud, les accès distants ou la surveillance du système, cela permet d’avoir des clés pour améliorer de façon durable la maturité de la sécurité du SI.
Aspects concrets de la sécurité opérationnelle
• Les différents niveaux de sécurité
• La sécurité des réseaux
• Accès distants
• Journalisation
• Mots de passe
• Sécurité du poste de travail
• Antivirus
•Sécurité des services
• Sauvegardes et restaurations
• Maîtriser les identités et les accès
• Rôle du RSSI dans la continuité et la reprise d’activité
• Gestion des tiers sensibles
• Le cloud • Gestion des incidents de sécurité
• Le RSSI face au juridique
• Lutter contre les infrastructures spontanées
• Gérer les expirations bloquantes
• Sensibilisation
• Gérer les audits
• Gérer le tout-venant
• Obstacles à la sécurité opérationnelle
• Intégration dans la norme ISO 27001
• La norme ISO 27001
• La norme ISO 27002
• Intégration de la sécurité opérationnelle à l’ISO 27001
• Surveillance du SI et tableaux de bord sécurité
• Sort-on vraiment un jour de la zone d’humiliation ?
Management de la sûreté et sécurité des entreprises
Pour faire face à la multiplication des risques et des malveillances, les entreprises doivent désormais mettre en place une véritable culture de sécurité/sûreté et d’intelligence économique. Dans un monde politiquement instable, idéologiquement déboussolé et économiquement fragilisé, l’entreprise est devenue la cible de toutes les convoitises. Elle doit affronter, au quotidien, de nouvelles menaces, voire de nouveaux risques susceptibles d’affecter son activité ou son développement. La problématique de la sécurité des entreprises n’est pourtant pas une préoccupation nouvelle pour les dirigeants de société. Mais elle est aujourd’hui indéniablement liée à la notion d’intelligence économique, principalement autour de deux axes principaux que sont la protection des personnes et la protection de
l’information où toute atteinte est de nature à impacter très fortement l’activité des entreprises.
Il s’agit donc à la fois d’identifier les besoins de sécurité/sûreté et d’évaluer les menaces internes et externes, puis de développer des politiques, des plans, des procédures et des protections physiques afin de pouvoir maîtriser ces menaces.
Aujourd’hui, les entreprises ont bien compris que leur avenir était lié à de nouveaux objectifs éthiques qu’une saine gestion des risques permet d’atteindre, ce qui les a conduit à une approche préventive des risques qui se traduit en axes réalistes et mesurables. Elle s’applique à l’ensemble des activités et notamment à la conduite des projets de réalisation ou de recherche
La mise en œuvre de l’intelligence économique, tant par les acteurs publics que par les entreprises et établissements de recherche, s’inscrit dans un contexte précis : celui de la
mondialisation et de l’interconnexion des économies. Face à ces nouveaux défis, toute entité économique doit désormais intégrer l’intelligence économique afin de comprendre, analyser et anticiper ces mutations et de protéger sa compétitivité et ses savoir-faire.
Les entreprises occidentales, présentes sur les grands marchés internationaux, sont aujourd’hui soumises à des contraintes législatives et réglementaires croissantes et à
un véritable « tsunami » de normes et de standards. Les parties prenantes sont de plus en plus exigeantes et leurs demandes sont grandissantes.