La governança ? Qu’es aquò ?
La governança qu’ei la branca de la cybersecuritat qui ei portada au mei nivèu dens l’enterpresa (o auta). En efèit, qu’ei portada peu Responsable de la Securitat deus Sistèmas d’Informacion (RSSI en occitan o en francès, CISO en anglés).
Pendent l’article, que parlarèi d’enterpresa . Ben entenut, que s’ageish d’un acorcit pr’amor que cau meilèu léger arrés morau, qui aquò sia ua enterpresa, ua associacion, ua fondacion, ua collectivitat, etc.
Lo RSSI
Aqueste que pòt estar restacat a la Direccion deus Sistèmas d’Informacion (DSI), a la Direccion Administrativa e Financèra (DAF) o dirèctament au comitat executiu. Plan sovent, l’organigrama e donc lo restacament deu RSSI que permet d’aver ua idèa de la maturitat cyber de l’enterpresa.
Si ua enterpresa possedeish pas RSSI, aquò que significa que s’ei pas enqüèra interessada a la cyber. De d’òra o tard, que deuré cambiar lo son punt de vista suu cyber, sovent peu retorn d’experiéncia d’ua ataca.
Quan debuta en cyber, e qu’embaucha un RSSI, que considèra que la cyber securitat n’ei pas qu’informatica e que restaca aqueste a la DSI. Aqueth restacament qui pòt paréisher logic e plan sovent geinant. En efèit, lo tribalh d’un RSSI qu’ei d’aumentar lo nivèu de securitat entà aténher un nivèu acceptable au vist de las activitats de l’enterpresa. Entad aquò har, que va sovent analisar lo tribalh realizada per la DSI e que risca atau de reméter en causa lo tribalh de las equipas deu son cap dirècte.
Un còp aqueth blocatge remarcat e l’organizacion modificada, si besonh, lo RSSI que’s pòt retrobar restacat a la DAF o au comitat executiu. Si ei restacat a la DAF, l’enqüèra aquò que pòt significar que la cyber ei vista d’un punt de vista unicament financèr. Totun, lo budget deu RSSI e de la soa equipa que serà décorrélé deu de la DSI, çò que serà dejà un gròs abans.
Si lo RSSI depend dirèctament deu comitat executiu, l’enterpresa qu’a comprés que la cyber ei ua branca a despart dens la vita e la subervita de la soa activitat e qu’a aqueth títol, lo RSSI que remonstrè dirèctament las soas indicators securitat a las personas avent ac poder décisionnel. En mei, lo RSSI qu’aurà lo son budget dedicat (pas forçadament enòrme).
Lo tribalh deu RSSI passa, enter autas, per la governança
La nòrma ISO/IEC 38500 que concerneish la governança deus procediments de gestion e las decisions relativas aus servicis d’informacion e de comunicacion d’ua organizacion.
Que defineish sheis principis
Establir las responsabilitats
Planificar entà sostiéner au mélher l’organizacion
Har aquisicions entà rasons valablas
Assegurar los nivèus de proessa necessàrias
Assegurar la conformitat a las règlas
Assegurar lo respècte deus factors umans
(hont : https://www.itgovernance.eu/fr-fr/iso-38500-fr )
Entà aquò, lo RSSI que’s pòt prémer deus estandards en la matèria. Lo mei conegut qu’ei la familha d’ISO 2700X, dab la 27001 version 2013 (la version navèra 2022 que comença a èste integrada dens las enterpresas).
Qu’existeish autes estandards qu’ei segon on nse situam dens lo monde, qu’auràn ua importància mei o mensh importanta .
Gràcias ad aqueths estandards, o de las creacions intèrnas a l’enterpresa, lo RSSI que va poder definir ua Politica de Securitat deus Sistèmas d’Informacion (PSSI), vertadèra pèira angulara de la cybersecuritat.
La PSSI
La PSSI qu’ei lo document mei important d’un punt de vista de la cybersecuritat d’ua enterpresa. Que serà ratificat per la Direccion, çò que permeterà d’apiejar lo son important e lo son caractèr obligatòri.
Que comportarà elements diferents segon los maines d’activitat, la maturitat de l’enterpresa, etc, mes plan sovent que compòrta l’esquèma organizacionau de la cybersecuritat, lo décisionnel en cas d’incident cyber, o en hèit referéncia, l’estrategia de classificacion de l’informacion : personau, qu’interna, confidenciau, etc.
Que pòt egaument tractar importància de las sensibilizacions e que formatàvam suu subjècte, la politica de mots de passa entaus utilizators, mes tanben entaus administrators, la mesa en plaça d’un Multi Factor d’Autentificacion (que serà lo subjècte d’un aute article), etc.
Los indicators de securitat
Adara que la nosta enterpresa possedeish ua PSSI dab ambicions de securitat, que cau poder seguir los escarts enter l’esperat e lo reau. Entà aquò, lo RSSI qu’utiliza un aute pielar de la governança : los indicators de securitat (KPI).
Aqueths indicators que pòden variats e suivrent lo desplegament d’ua atruna de securitat suus servidors, la version deus sistèmas d’espleitacions e los lors patchs de securitat (los famós KB devath windows), lo renovelament deus mots de passa seguida a ua modificacion de la politica dedicada, lo desplegament deu MFA, lo renovelament de las pòstas mei securizats, lo nombre de temptativas d’intrusion, etc.
Lo RSSI qu’a entà objectiu de formalizar aqueths indicators e de’n har la sintèsi a la Direccion. Aqueths indicators que pòden, indirèctament, ajudar lo RSSI qu’a obtiéner navèths budgets entà contunhar lo melhorament deu nivèu de securitat de l’enterpresa.