Etude de cas

Rôles des métiers retenus

Équipe de Développement - Responsable de la Sécurité Applicative
Fiche de Poste :
Description du Poste :
Le Responsable de la Sécurité Applicative joue un rôle essentiel au sein de l'équipe
de développement, garantissant la conception, le développement et le déploiement
sécurisé des applications logicielles.
Responsabilités Principales :

1. Intégration de la Sécurité dans le Cycle de Développement :

Collaborer avec les équipes de développement pour intégrer des pratiques

de sécurité dès le début du cycle de développement.

Mettre en œuvre des outils et des processus de test de sécurité

automatisés.

2. Revues de Code et Analyses de Vulnérabilités :

Effectuer des revues de code régulières pour identifier et résoudre les

vulnérabilités de sécurité.

Utiliser des outils d'analyse statique et dynamique pour détecter les

faiblesses potentielles dans le code.

3. Gestion des Clés d'API et des Informations Sensibles :

Élaborer et appliquer des politiques de gestion des clés d'API et des

informations d'authentification.

Sensibiliser les développeurs aux bonnes pratiques de gestion des données

sensibles.

4. Gestion des Environnements de Développement :

S'assurer que les environnements de développement, de test et de

production sont sécurisés et conformes aux normes de sécurité.

5. Formation en Sécurité pour les Développeurs :

Etude de cas 1
 Organiser des sessions de formation régulières pour sensibiliser les
développeurs aux meilleures pratiques de sécurité.

Qualifications et Compétences :

Expérience avérée dans le développement sécurisé.

Connaissance approfondie des vulnérabilités logicielles courantes.

Maîtrise des outils de test de sécurité et d'analyse de code.

Capacité à travailler en collaboration avec différentes équipes.

Responsable de la Sécurité Physique

Fiche de Poste :
Description du Poste :
Le Responsable de la Sécurité Physique est chargé de garantir un environnement
sécurisé pour les employés, les visiteurs et les biens matériels de l'entreprise.
Responsabilités Principales :

1. Contrôle d'Accès et Gestion des Locaux :

Mettre en place et maintenir des systèmes de contrôle d'accès physique.

Superviser la gestion des accès aux locaux et l'utilisation de badges

d'identification.

2. Gestion des Visiteurs :

Élaborer des procédures strictes pour l'accueil et l'identification des visiteurs.

S'assurer que chaque visiteur est accompagné conformément aux politiques

de sécurité.

3. Surveillance Vidéo et Sécurité Périphérique :

Superviser les systèmes de surveillance vidéo pour garantir une couverture

complète des zones sensibles.

Coordonner la maintenance des dispositifs de sécurité physique, tels que les

caméras et les systèmes d'alarme.

4. Formation en Sécurité Physique :

Organiser des sessions de formation pour le personnel sur les procédures

d'évacuation, la sensibilisation aux menaces physiques, etc.

5. Gestion des Événements de Sécurité Physique :

Etude de cas 2
 Coordonner la réponse aux incidents de sécurité physique, y compris la
collaboration avec les forces de l'ordre si nécessaire.

Qualifications et Compétences :

Expérience dans la gestion de la sécurité physique d'entreprise.

Connaissance des systèmes de contrôle d'accès et de surveillance.

Capacité à élaborer et à mettre en œuvre des procédures de sécurité.

Excellentes compétences en communication et en gestion d'événements.

Équipe de Développement
1. Clause 6.1 - Actions à mettre en œuvre face aux risques et opportunités :

Mesures proposées :

A5.9 - Inventaire des informations et autres actifs associés.

A5.28 - Recueil de preuves.

2. Clause 8.1 - Planification et contrôle opérationnel :

Mesures proposées :

A8.3 - Restriction d'accès à l'information.

A8.31 - Séparation des environnements de développement, de test et de

production.

3. Clause 8.2 - Appréciation des risques de sécurité de l'information :

Mesures proposées :

A5.2 - Fonctions et responsabilités liées à la sécurité de l'information.

A8.2 - Droits d'accès privilégiés.

Sécurité Physique
1. Clause 7.2 - Compétences :

Mesures proposées :

A6.3 - Sensibilisation, apprentissage et formation à la sécurité de

l'information.

A6.7 - Travail à distance.

Etude de cas 3
 2. Clause 7.3 - Sensibilisation :

Mesures proposées :

A5.5 - Contacts avec les autorités.

A7.4 - Surveillance de la sécurité physique.

3. Clause 7.5 - Informations documentées :

Mesures proposées :

A7.11 - Services supports.

A7.12 - Sécurité du câblage.

4. Clause 8.1 - Planification et contrôle opérationnel :

Mesures proposées :

A7.3 - Sécurisation des bureaux, des salles et des équipements.

A7.5 - Protection contre les menaces physiques et environnementales.

5. Clause 7.4 - Communication :

Mesures proposées :

A5.6 - Contacts avec des groupes d’intérêt spécifiques.

A6.8 - Déclaration des événements de sécurité de l'information.

6. Clause 7.1 - Ressources :

Mesures proposées :

A7.1 - Périmètres de sécurité physique.

A7.2 - Accès physique.

Indicateurs de performance pour chaque mesure :

Équipe de Développement
1. Actions à mettre en œuvre face aux risques et opportunités (Clause 6.1) :

Indicateur : Nombre d'actions correctives mises en place par trimestre.

2. Planification et contrôle opérationnel (Clause 8.1) :

Indicateur : Taux de conformité aux restrictions d'accès définies.

Etude de cas 4
 3. Appréciation des risques de sécurité de l'information (Clause 8.2) :

Indicateur : Fréquence des évaluations de vulnérabilités effectuées.

Sécurité Physique
1. Compétences (Clause 7.2) :

Indicateur : Taux de participation aux formations de sécurité.

2. Sensibilisation (Clause 7.3) :

Indicateur : Nombre d'incidents physiques évités grâce à la surveillance.

3. Informations documentées (Clause 7.5) :

Indicateur : Taux de mise à jour des documents de sécurité physique.

4. Planification et contrôle opérationnel (Clause 8.1) :

Indicateur : Taux de réussite des tests de sécurité des locaux.

5. Communication (Clause 7.4) :

Indicateur : Temps de réponse aux événements de sécurité physique.

6. Ressources (Clause 7.1) :

Indicateur : Temps moyen d'intervention en cas d'accès non autorisé.

Déclaration d'Applicabilité (DdA)

Contexte :
Cette Déclaration d'Applicabilité est établie pour définir le périmètre et les mesures
de sécurité de l'information applicables à l'équipe de développement et à la sécurité
physique au sein de l'organisation [Nom de l'Organisation].

Périmètre
Équipe de Développement
1. Actions à mettre en œuvre face aux risques et opportunités (Clause 6.1) :

Etude de cas 5
 A5.9 - Inventaire des informations et autres actifs associés : La gestion
d'un inventaire des actifs permet une meilleure compréhension des données
et des ressources liées au développement, facilitant ainsi la mise en place
de mesures de sécurité appropriées.

A5.28 - Recueil de preuves : La capacité à recueillir des preuves est

cruciale pour répondre aux incidents de sécurité et pour démontrer la
conformité. Cela renforce la posture de l'équipe de développement en cas
de litige ou d'audit.

2. Planification et contrôle opérationnel (Clause 8.1) :

A8.3 - Restriction d'accès à l'information : En limitant l'accès aux

informations sensibles, on réduit les risques de fuites ou de manipulations
non autorisées, assurant ainsi la confidentialité et l'intégrité des données.

A8.31 - Séparation des environnements de développement, de test et

de production : La séparation des environnements garantit que les
vulnérabilités découvertes dans le développement et le test n'affectent pas la
production, minimisant ainsi les risques opérationnels.

3. Appréciation des risques de sécurité de l'information (Clause 8.2) :

A5.2 - Fonctions et responsabilités liées à la sécurité de l'information :

En définissant clairement les rôles et les responsabilités en matière de
sécurité, l'équipe de développement peut mieux gérer les risques et
s'assurer que chacun contribue à la sécurité de l'information.

A8.2 - Droits d'accès privilégiés : La gestion rigoureuse des droits d'accès

privilégiés réduit les risques liés à une utilisation abusive des privilèges,
renforçant ainsi la sécurité du système et des données.

Sécurité Physique
1. Compétences (Clause 7.2) :

A6.3 - Sensibilisation, apprentissage et formation à la sécurité de

l'information : En assurant que le personnel est informé des risques de
sécurité physique et des meilleures pratiques, on renforce la première ligne
de défense contre les menaces physiques.

A6.7 - Travail à distance sécurisé : Avec la tendance au travail à distance,

garantir un environnement de travail à distance sécurisé devient crucial pour
prévenir les atteintes à la sécurité physique.

Etude de cas 6
 2. Sensibilisation (Clause 7.3) :

A5.5 - Contacts avec les autorités : En établissant des protocoles de

communication avec les autorités en cas d'incident physique, l'organisation
peut réagir rapidement et efficacement en cas d'urgence.

A7.4 - Surveillance de la sécurité physique : La surveillance constante

des infrastructures physiques permet de détecter et de répondre rapidement
aux incidents de sécurité physique.

3. Informations documentées (Clause 7.5) :

A7.11 - Services supports : La documentation des services supports

garantit que les responsabilités et les procédures de sécurité sont clairement
définies, améliorant ainsi la cohérence et l'efficacité des opérations de
sécurité physique.

A7.12 - Sécurité du câblage : En documentant les normes de sécurité du

câblage, l'organisation s'assure que les infrastructures physiques sont
résilientes aux attaques physiques.

Etude de cas 7