Accueil Plan du site Contacts Accès communauté sécurité Blog Flux RSS
Gouvernance de la sécurité

Stratégie et politique sécurité


Définition de la politique de sécurité - (ISO 27002) :
  • Analyse des risques et des enjeux
    • Identification et détermination de la valeur des actifs
    • Identification des risques et détermination des seuils critiques applicables aux actifs
    • Détermination du meilleur compromis entre les coûts de protection et le niveau des risques acceptable
    • Identification des menaces
  • Aide à la rédaction des chartes de sécurité
  • Séminaires et conférences de sensibilisation des acteurs de l’entreprise aux problèmes de sécurité informatique,

Démarche
  • Etape 1 : Etablissement d’un cadre général de la Politique de Sécurité
  • Etape 2 : Réalisation d’un schéma organisationnel détaillé (ISO 27002)
  • Etape 3 : Etablissement des directives fonctionnelles
 gouvernance1


Gestion des risques opérationnels


Gestion des risques - (MEHARI développé par le CLUSIF et ISO 27005) :
  • Identifier les enjeux du système d'information de l'entreprise.
  • Identifier les failles organisationnelles et/ou technologiques ainsi que les menaces pesant sur le système d'information.
  • Evaluer les conséquences de ces menaces pour l'entreprise (pertes financières directes ou indirectes, atteinte à l'image de marque, sanctions pénales, remise en cause de la confiance des partenaires, …) ;
  • Identifier les actions à mettre en œuvre et des mesures correctives pour réduire ou neutraliser les risques jugés inacceptables par l'entreprise.

Démarche
  • Etape 1 : Mise en évidence des enjeux majeurs (DICP)
  • Etape 2 : Identifier les vulnérabilités
  • Etape 3 : Analyse et plan d’action


Conformité légale et réglementaire


gouvernance2 L’entreprise doit aussi se conformer à la législation et aux réglementations pouvant s’appliquer directement et/ou indirectement au SI. Il s’agit par exemple de l’obligation de sécurité concernant le traitement et le stockage des données personnelles et/ou de la responsabilité de l’entreprise quant à l’utilisation de son SI par le salarié.

Face à tous ces enjeux, le pôle de compétences de l’ESEC se propose d’accompagner les entreprises dans leur démarche de sécurisation de leur SI et dans leur engagement de conformité aux législations et réglementations applicables. En effet, composé d’une dizaine d’experts du domaine (ingénieurs et juristes), ce pôle est spécialisé dans la sécurisation des architectures et dans la gouvernance de la sécurité du SI sous respect des contraintes légales et réglementaires.

ESEC - POLES

esec.fr.sogeti.com © 2008 Informations légales