La governança ? Qu’es aquò ?
La governança qu’ei la branca de la cybersecuritat qui ei portada au mei haut nivèu dens l’enterpresa (o auta organizacion). En efèit, qu’ei portada peu Responsable de la Securitat deus Sistèmas d’Informacion (RSSI en occitan o en francés, CISO en anglés).
Tot lo long de l’article, que parlarèi d’enterpresa. Ben entenut, que s’atapa d’un acorcit pr’amor que cau meilèu léger persona morala, qui aquò sia ua enterpresa, ua associacion, ua fondacion, ua collectivitat, etc.
Lo RSSI
Aqueste que pòt estar restacat a la Direccion deus Sistèmas d’Informacion (DSI), a la Direccion Administrativa e Financèra (DAF) o dirèctament au comitat executiu. Plan sovent, l’organigrama e donc lo restacament deu RSSI que permet d’aver ua idèa de la maturitat ciber de l’enterpresa.
Si ua enterpresa non possedeish pas nat RSSI, aquò que significa que n’s n’ei pas enqüèra interessada au ciber. De d’òra o tard, que deuré cambiar lo son punt de vista suu ciber, sovent peu retorn d’experiéncia d’ua ataca.
Quan ua enterpresa debuta en ciber, e qu’embaucha un RSSI, que considèra que la cybersecuritat n’ei pas qu’informatica e que restaca aqueste a la DSI. Aqueth restacament qui pòt paréisher logic, qu’ei plan sovent geinant. En efèit, lo tribalh d’un RSSI qu’ei d’aumentar lo nivèu de securitat entà aténher un nivèu acceptable en vista de las activitats de l’enterpresa. Entad aquò har, que va sovent analisar lo tribalh realizat per la DSI e que risca atau de reméter en causa lo tribalh de las equipas deu son cap dirècte.
Un còp aqueth blocatge remarcat e l’organizacion modificada, si besonh, lo RSSI que’s pòt retrobar restacat a la DAF o au comitat executiu. S’ei restacat a la DAF, aquò que pòt significar tornamai que la ciber ei vista d’un punt de vista unicament financèr. Totun, lo budget deu RSSI e de la soa equipa que serà descorrelat deu de la DSI, çò que serà dejà un gròs avantatge.
Si lo RSSI depend dirèctament deu comitat executiu, l’enterpresa qu’a comprés que la ciber ei ua branca a despart dens la vita e la subervita de la soa activitat e qu’a aqueth títol, lo RSSI que presenta dirèctament los sons indicators de securitat a las personas avent lo poder decisionau. En mei, lo RSSI qu’aurà lo son budget dedicat (pas forçadament enòrme).
Lo tribalh deu RSSI que passa, enter autas, per la governança
La nòrma ISO/IEC 38500 que concerneish la governança deus procediments de gestion e las decisions relativas aus servicis d’informacion e de comunicacion d’ua organizacion.
Que defineish sheis principis :
Establir las responsabilitats
Planificar entà sostiéner au mélher l’organizacion
Har aquisicions per rasons valablas
Assegurar los nivèus de rendement necessaris
Assegurar la conformitat a las règlas
Assegurar lo respècte deus factors umans
(hont : https://www.itgovernance.eu/fr-fr/iso-38500-fr )
Entà aquò har, lo RSSI que’s pòt emparar deus estandards en la matèria. Lo mei conegut qu’ei la familha de l’ISO 2700X, dab la 27001 version 2013 (la version navèra 2022 que comença a èster integrada dens las enterpresas).
Qu’existissen autes estandards e, segon on nos situam dens lo monde, qu’auràn ua importància mei o mensh grana.
Gràcias ad aqueths estandards, o a las creacions intèrnas a l’enterpresa, lo RSSI que va poder definir ua Politica de Securitat deus Sistèmas d’Informacion (PSSI), vertadèra pèira angulara de la cybersecuritat.
La PSSI
La PSSI qu’ei lo document mei important d’un punt de vista de la cybersecuritat d’ua enterpresa. Que serà ratificat per la Direccion, çò que permeterà d’apiejar lo son import e lo son caractèr obligatòri.
Que comportarà elements diferents segon los domènis d’activitat, la maturitat de l’enterpresa, etc, mès plan sovent que compòrta l’esquèma organizacionau de la cybersecuritat, lo procés decisionau en cas d’incident ciber, o en i fent referéncia, l’estrategia de classificacion de l’informacion : personau, intèrna, confidenciau, etc.
Que pòt egaument tractar de l’importància de las sensibilizacions e de las formacions suu subjècte, la politica de mots de passa entaus utilizators, mès tanben entaus administrators, la mesa en plaça d’un sistèma d’Autentificacion Multi-Factor (MFA) (que serà lo subjècte d’un aute article), etc.
Los indicators de securitat
Adara que la nosta enterpresa possedeish ua PSSI dab ambicions de securitat, que cau poder seguir los escarts enter l’esperat e lo reau. Entà aquò, lo RSSI qu’utiliza un aute pilar de la governança : los indicators de securitat (KPI).
Aqueths indicators que pòden estar variats e séger lo desplegament d’ua aisina de securitat suus servidors, la version deus sistèmas d’espleitacion e los lors patchs de securitat (los famós KB devath Windows), lo renovelament deus mots de passa en seguida d’ua modificacion de la politica dedicada, lo desplegament deu MFA, lo renovelament entà las ròdas de trabalh mei securizadas, lo nombre de temptativas d’intrusion, etc.
Lo RSSI qu’a entà objectiu de formalizar aqueths indicators e de’n har la sintèsi a la Direccion. Aqueths indicators que pòden, indirèctament, ajudar lo RSSI a obtiéner navèths budgets entà contunhar lo melhorament deu nivèu de securitat de l’enterpresa.
