L'approche RSSI: Organisation de la sécurité

Attribution des responsabilités

Dans le cadre de la sécurité des systèmes et réseaux d’informations, toutes les responsabilités doivent être clairement définies dans l’organisation. La direction désigne les responsables ainsi que leur champs de compétences. Chaque responsable s’assure de la mise en œuvre des politiques de sécurité dans son domaine. Ces responsables assistent aussi à la revue annuelle.

Définition des rôles

La direction

• approuve la politique globale de sécurité, les orientations et les directives
• fournit les ressources requises pour assurer la sécurité de l’information
• assure la sécurité des activités de l’organisme
• désigne un chargé de la sécurité (CS) et un Chargé de la Sécurité des systèmes d’information (CSSI)

Le CS et le CSSI

Le CS (chargé de la sécurité) et le CSSI (chargé de la sécurité des systèmes d’information) agissent comme coordonnateurs de la sécurité. A cet effet ils ont, chacun dans son domaine, la responsabilité:

• d’élaborer et assurer le suivi et la mise à jour périodique du plan d’action
• de communiquer au personnel et aux partenaires de l’organisme les orientations de la sécurité de l’information
• de veiller au respect de la politique de sécurité de l’information et à la protection des données à caractère personnel
• d’informer périodiquement la direction sur l’état d’avancement des dossiers touchant à la sécurité
• d’aider le personnel à respecter les règles de sécurité.

Les gestionnaires

Les gestionnaires respectifs des actifs de l’organisme doivent:

• inventorier et classifier les biens et informations dont ils sont responsables
• assurer la gestion de la sécurité de ceux-ci
• autoriser l’utilisation de ces informations
• veiller à ce que les mesures de sécurité appropriées soient mises en place, appliquées et périodiquement vérifiées
• participer à la sensibilisation des utilisateurs.

Coordination de la sécurité

Les fonctions CS et CSSI sont dédiées à la gestion de la sécurité de l’organisme. Le CS et le CSSI élaborent, organisent et entretiennent la sécurité. Ils sont les coordonnateurs et points de contact internes dans la matière.

Ils sont membres permanents du Comité de Sécurité et c’est à eux qu’appartient le soin de donner suite à tous les événements de sécurité.

Il s’agit de rôles transversaux par rapport à l’organisation hiérarchique de l’organisme, ce qui leur permet d’intervenir et d’avoir autorité sur tout ce qui concerne la sécurité.

Ils sont invités aux délibérations de la direction, dès lors qu’un avis dans le domaine de la sécurité est demandé.

Ils représentent également le point de contact principal pour les autorités externes ainsi que pour les divers groupes de spécialistes.

Autoriser l’ajout d’outils

La politique de sécurité doit définir une procédure à suivre pour l’ajout de tout outil de traitement d’informations.

L’ajout de nouveaux équipements ou logiciels (PME: voir Utilisation de logiciels non approuvés et Insertion ou suppression de matériels et Licence non valide ou inexistante et Utilisation abusive des ressources de l’organisation) au sein de l’entreprise doit être approuvé par le responsable du domaine (voir définition des responsabilités au point 1 de ce chapitre). L’installation de logiciels téléchargés de l’Internet entre dans cette catégorie. Cette procédure doit également être appliquée pour l’utilisation d’outils privés au sein de “l’organisation” et particulièrement si ceux-ci sont connectés à un réseau.

Conseils d’un spécialiste

“L’organisation” doit être en relation avec un spécialiste de la sécurité des technologies des informations qui sera le contact privilégié pour tous les aspects de la sécurité des informations. Il participe notamment:

• à la définition des politiques de sécurité ainsi qu’à leur révision annuelle;
• aux activités d’audit;
• aux réunions de suivi des mesures de sécurité;
• aux activités de mises en place des technologies choisies;
• à la veille technologique en tenant “l’organisation” informée des changements qui pourraient avoir une incidence sur le niveau de sécurité.

Le directeur mandate la société spécialisée qui est en charge de cette activité.

Revue indépendante de la sécurité des informations

L’organisation peut prévoir de charger un spécialiste externe d’une révision annuelle de la politique de sécurité. L’objectif de cette révision consiste à vérifier que les politiques soient adéquates par rapport aux activités de “l’organisation” et qu’elles soient réellement mises en œuvre sur le terrain.

CE POINT EST OPTIONNEL

Accès par des tiers et sous-traitance

L’accès, qu’il soit physique ou logique (gestion des accès), aux ressources et informations de “l’organisation” par des tiers doit être accordé dans un cadre strict. Leur accès doit être formellement approuvé par l’un des responsables. Les intervenants doivent travailler sous la surveillance directe d’un membre de “l’organisation” ou signer le document présenté en annexe: “Engagement de respect de la sécurité pour les sous-traitants de “l’organisation”” (PME: voir Pénétration dans les locaux; Vol caractérisé; Récupération de supports; Insertion ou suppression de matériels).

Dans tous les cas, les contrats de services concernant des ressources sensibles de “l’organisation” doivent comporter des dispositions concernant la protection de ces ressources.