Bonnes pratiques et expertises IT
Rechercher

La sécurité et la résilience, actifs de l’entreprise

L’actualité nous rappelle régulièrement que l’insécurité des systèmes d’information pardonne de moins en moins, qu’il s’agisse de HBO, qui s’est fait subtiliser plusieurs milliers de documents internes, de Saint-Gobain, qui a perdu 250 millions d’euros après l’attaque du ransomware Petya ou, plus récemment, d’Equifax, dont les données concernant 145 millions d’américains ont été compromises.

Reste à mettre en pratique les théories et les méthodologies de sécurité. Et, plus généralement, d’organiser la résilience des organisations. C’est l’objet de l’ouvrage d’Erica Seville, qui pilote un programme de recherche sur les organisations résilientes. L’objectif est d’être « prêt pour le futur ». Selon elle, la résilience n’est pas seulement une question de management des risques. C’est, plus globalement, la capacité d’une organisation à disposer de l’agilité nécessaire pour s’adapter à des événements imprévus. Qu’il faut être capable de mesurer en amont. Pour cela, l’auteur, qui considère la résilience comme un véritable actif de l’entreprise, propose treize indicateurs clés (voir encadré). Erica Seville propose également soixante-six actions pratiques pour améliorer la résilience d’une organisation.

Les aspects pratiques sont également privilégiés par Claude Pinet. A partir des dix clés essentielles pour comprendre la sécurité de l’information (processus de gestion de risques, gestion des incidents, certification...), l’auteur a élaboré trente-deux fiches techniques pratiques, qui couvrent tous les aspects qu’il faut privilégier pour la définition et la mise en œuvre d’une politique de sécurité des systèmes d’information, par exemple : le contenus des normes ISO/CEI, des exemples de catégories d’actifs, de menaces et de vulnérabilité, de tableaux de bord, de pondération de la probabilité d’un risques, le contenu d’un plan de reprise, les missions d’un manager de risques ou encore la manière de gérer les incidents. Selon l’auteur, « toute organisation, avant d’entreprendre une action quelle qu’elle soit, doit se poser la question de l’évaluation des conséquences que cette action est susceptible d’entraîner. Et c’est probablement dans le domaine de l’information que l’impact des décisions et des actions peut s’avérer le plus difficile à appréhender. »

Résilience : treize indicateurs clés

  • Le leadership : pour affronter les situations de crise.
  • L’engagement des collaborateurs : pour traiter un problème jusqu’à sa résolution.
  • La qualité des partenariats avec des tiers : pour travailler plus efficacement en période de crise.
  • La capacité à détecter les signaux faibles : pour anticiper les situations de crise.
  • L’innovation et la créativité : pour capitaliser sur les connaissances.
  • La proactivité : pour répondre rapidement à l’inattendu.
  • L’unité stratégique : pour définir les priorités pendant et après une crise.
  • La rapidité de décision : pour agir au plus vite.
  • La capacité à casser les silos : pour travailler avec d’autres organisations.
  • Les ressources internes : pour absorber des changements inattendus.
  • Le partage des connaissances : pour pouvoir remplacer les personnes-clés.
  • La planification : pour gérer la dépendance à l’égard de tiers.
  • Les plans d’urgence régulièrement testés : pour limiter les conséquences d’une crise.

Source : Resilient organizations.

Les missions d’un manager de risques

  • Définition et mise à jour de la politique de sécurité.
  • Identification, analyse et évaluation des risques.
  • Propositions d’actions préventives et correctives.
  • Vérification et suivi de l’efficacité des actions.
  • Communication sur les risques et leur gestion.
  • Sensibilisation et formation à la problématique de gestion des risques.
  • Élaboration des indicateurs avec un tableau de bord sécurité.
  • Gestion de la veille (réglementaire, technique...) sur les risques.

Source : 10 clés pour la sécurité de l’information

 199 biblio 1

10 clés pour la sécurité de l’information, par Claude Pinet, Afnor Editions, 2017, 187 pages.

199 biblio 2

Resilient organizations, how to survive, thrive and create opportunities through crisis and change, par Erica Seville, Editions KogaPage, 2017, 184 pages.

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Dominique Herbert

Dominique Herbert

Consultant en systèmes d’information depuis plus de vingt ans, Dominique Herbert collabore à Best Practices sur les thématiques de gouvernance, d’organisation de la DSI et de stratégie SI.

Nos Ouvrages

  • IT Benchmark
Rapport annuel - 2019

    La Shadow Information, ensemble d’informations que l’on ne trouve pas dans les médias, mais qui présentent une valeur pour la gestion opérationnelle de l'écosystème de l'IT. Ces contenus sont bien sûr accessibles à tous, mais cela demande énormément de temps et de ressources pour les trouver, les lire et se les approprier : les équipes de IT Benchmark le font pour vous !

  • Best Practices
Relations fournisseurs

    La relation avec les fournisseurs est probablement ce qu’il y a de plus complexe à gérer pour un DSI. Autant, pour les problématiques technologiques, on peut s’appuyer sur des standards, autant les interactions avec les fournisseurs, qui comportent une part d’incertitude, d’ambiguïté et de liens personnels, sont délicates à normaliser.

  • Best Practices Spotlight
Symposium Gartner 2018

    Ce numéro de Best Practices Spotlight regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2018, qui s’est tenu en novembre à Barcelone.

A ne pas manquer

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris