Cyber Securité
La mise en place d’une stratégie de sécurité informatique passe par la mise en place de politiques d’entreprise et de cadres pour la gestion des risques.
Nous pouvons vous assister dans la mise en place de tels cadres de fonctionnement.
Cadre de gestion des risques (NIST - SP800-39)
Point de départ.
La phase de préparation permet de définir les rôles et d'identifier les participants clé à la politique de sécurité. On détermine la tolérance aux risques et les principaux systèmes sont identifiés
Les systèmes sont identifiés de manière exhaustive et sont catégorisés en fonction de leur importance pour l'organisation. Les décisions sont validées par une autorité valable (directeur, CEO, conseil d'administration)
Les points de contrôles sont sélectionnés pour chaque système et sont alloués de manière spécifique. Une stratégie de surveillance est établie.
Etablissement de nouvelles procédures ou révision des procédures existantes. Les responsabilités pour chaque point de contrôle sont assignées et les formations nécessaires sont suivies.
Une équipe d'évaluation est mise en place. Développement des plans de tests et d'évaluation. Les plans sont approuvés par la direction. Les systèmes sont mis à l'épreuve par l'équipe de test. Les résultats sont documentés et communiqués. Les actions correctrices nécessaires sont mises en place.
Un rapport d'autorisation est créé (sommaire, liste des systèmes, plans de sécurité, scenarios). Une détermination du niveau de risque est rendue et les réponses possible sont documentées. Chaque système est autorisé ou renié.
Les systèmes et les environnements sont surveillés de manière continue ou régulière. Les outils de surveillance nécessaires sont mis en place et les procédures de surveillance permettent de rapporter tout incident.
