Académique Documents
Professionnel Documents
Culture Documents
ACTIFS INFORMATIONNELS
DANS UNE ENTREPRISE
Presenté par:
Encadreur académique :
M. Leopold DONGMO
Plan du travail:
OBJECTIFS POURSUIVIS
INTRODUCTION GENERALE
Cas Pratique
Conclusion
OBJECTIFS POURSUIVIS
• Avoir une approche globale et raisonnée (expression de besoin assise sur une analyse de risques) ;
Les processus (la finalité métier, intégrer la démarche de Protection de l’Information dans les processus métiers) ;
• Avoir une démarche cohérente selon ces trois axes (autrement dit progresser de la même façon sur l’axe organisationnel, l’axe humain et l’axe outils) ;
• Disposer d’une politique de sécurité et d’une politique de gestion des risques structurée et explicite;
• S’appuyer sur la maturité de l’entreprise et sur une culture partagée de ce que constitue le « patrimoine informationnel » de l’entreprise ;
2. Sept étapes
La démarche peut suivre les étapes suivantes :
1. Faire un audit, état des lieux ;
2. Définir le modèle d’organisation, les acteurs, les rôles, les responsabilités. Mettre en place un
comité de pilotage transverse qui oriente, valide et supporte les actions ;
3. Définir les grandes orientations, priorités et objectifs (créer l’attention sur le sujet et engager le
management) ;
4. Élaborer, mettre en place et maintenir le référentiel de protection de l’information (charte
utilisateurs et administrateurs des SI, politique groupe, politique particulière de sécurité de
l’information) ;
5. Sensibiliser et responsabiliser le management et les employés (sessions d’information et
communication) ;
6. Identifier et assurer le traitement des sujets prioritaires (mise en place d’une cellule de gestion
des vulnérabilités et des incidents, protection des communications écrites et orales, protection
anti-virus, sécurité des réseaux, gestion des accès, gestion de l’information) ;
7. Evaluer et contrôler (intégration dans le programme d’audit et démarche de tests et
évaluation).
3. Quatre acteurs
La protection de l’information doit s’inscrire dans une démarche organisée,
transversale, collaborative et dynamique.
Quatre acteurs principaux interviennent dans la protection de l’information :
• l’entreprise qui fixe les règles et met à disposition des solutions standard
de protection et les consignes associées ;
• les métiers qui identifient les informations sensibles à protéger ;
• la hiérarchie qui contrôle la bonne application des règles dans son
périmètre de responsabilité ;
• et chacun, qui connait le niveau de sensibilité des informations qu’il
détient et les règles et procédures à appliquer.
3. Quatre acteurs
Réduction du risque
En général, les mesures de sécurité peuvent fournir un ou plusieurs types de protection : la
correction, l’élimination, la prévention, l’atténuation des impacts, la dissuasion, la
détection, la récupération, la surveillance et la sensibilisation.
Maintien du risque
Si le niveau de risque répond aux critères d’acceptation du risque, il n’est pas nécessaire
de mettre en œuvre d’autres mesures de sécurité, le risque peut alors être conservé.
Evitement du risque
Lorsque les risques identifiés sont jugés trop élevés ou lorsque les coûts de mise en œuvre
d’autres options de traitement du risque dépassent les bénéfices attendus, il est possible de
prendre la décision d’éviter complètement le risque, en abandonnant une ou plusieurs
activités prévues ou existantes, ou en modifiant les conditions dans lesquelles l’activité est
effectuée. Par exemple, pour les risques découlant d’incidents naturels, il peut être plus
rentable de déplacer physiquement les moyens de traitement de l’information à un endroit
où le risque n’existe pas ou est maîtrisé.
Transfert du risque
Le transfert du risque implique la décision de partager certains risques avec des parties
externes. Il peut créer de nouveaux risques ou modifier les risques identifiés existants. Par
conséquent, un autre traitement de risque peut s’avérer nécessaire.
3. Politique de protection des actifs
informationnels
Pour veiller à la protection des actifs informationnels, il est nécessaire d’établir une
politique de protections de ses actifs.
Elle consistera à :
• Définir les orientations générales et les priorités ;
• Développer, mettre en œuvre et maintenir un référentiel de protection de
l’information (politiques, rôles et responsabilités, processus, normes) ;
• Sensibiliser et éduquer le management/les employés à tous les niveaux ;
• Identifier et traiter les faiblesses prioritaires ;
• Assurer la conformité et contrôler.
Conclusion
Pour garantir sa croissance et son leadership, les deux grand défis d’une
organisations sont d’avoir de grands actifs informationnel mais aussi de
pouvoir garantir la sécurité de ses actifs. Pour cela, il est important pour toute
organisation d’avoir une forte politique de gestion de ses actifs informationnels
permettant de catégoriser ses actifs, d’evaluer les risque et menance liées à
ces actifs et d’adopter une bonne politique de protection.