Passer à l’action en sécurité des systèmes d’information
Vous connaissez l’histoire de la blonde qui agite le gros orteil ?
Vous la connaissez probablement… Dans une scène mémorable de Kill Bill, on voit Uma Thurman se livrer à une séance de rééducation, par la seule force mentale, de ses pieds paralysés.
En fait, son truc de «vas-y, bouge ton orteil !», c’est de l’imagerie motrice, une technique bien connue des préparateurs sportifs… Mais un peu moins en vogue chez les dirigeants d’entreprise français.
Les neurosciences ont montré que l’action effectuée et la représentation mentale de cette action activent les mêmes canaux. C’est bien commode pour les sportifs, qui peuvent fortifier leur technique sans aller à la salle.
L’ennui, c’est que dans le monde des affaires, penser (même très fort) à une action n’équivaut pas à agir. Même si la paperasse vous pèse, ça ne muscle pas votre performance.
Et le pire, c’est que même agir ne suffit pas toujours ! Il faut souvent rendre compte de son action.
L’ISO 27001 fournit une technique de combat ultime pour les blondes qui se bougent l’orteil, les brunes, les poivre-et-sel, et même pour les porteurs de sourcils blancs.
L’ISO 27001 : Discipline et Self-Défense
Sœur cadette de la célèbre ISO 9001, l’ISO 27001 est une norme internationale de sécurité des systèmes d’information.
Une norme ? C’est un ensemble de bonnes pratiques codifiées. À la différence des lois, qui s’imposent à toutes les entreprises. La norme est un groupe de règles qu’on adopte librement, dans le but d’améliorer le fonctionnement de son entreprise au-delà du minimum.
L’ISO 27001, en clair, explique ce qu’est un bon Système de Management de la Sécurité de l’Information (SMSI). C’est un guide fiable pour établir un SMSI qui profite continuellement à l’entreprise.
Si vous êtes familier de l’ISO 9001 ou d’une autre norme, vous retrouverez ici la même logique de sécurité des systèmes d’information, qu’on peut résumer en 5 étapes :
1. On commence par un diagnostic : il y a toujours un existant, même si on n’en a jamais fait le recensement précis. Ainsi, personne ne commence de zéro. Je suis sûr que vous êtes au moins ceinture jaune.
2. On définit la politique de sécurité : c’est un bon brainstorming qui a l’énorme avantage de clarifier la stratégie, et avoir une stratégie claire est vraiment indispensable.
3. Ensuite, à l’aide d’une méthodologie (j’utilise souvent EBIOS, la nouvelle version est top), on identifie les risques… et, bien évidemment, on les évalue.
Exemple amusant : au cours d’une interview donnée à Kaspersky Lab, Alain Juillet, ancien de la DGSE, admet qu’on peut toujours faire de l’espionnage économique en faisant les poubelles des entreprises, mais qu’au temps des destructeurs de documents et surtout quand il est tellement facile de s’introduire à distance dans le serveur, il ne faut pas se faire d’illusions…
4. Mettre en place des mesures de sécurité : la norme ISO 27001 fournit tous les repères nécessaires. Ensuite c’est à vous de déterminer les actions concrètes qui vont vous faire progresser.
Par exemple, ça concerne les contrôles d’accès, la sécurité des communications, les relations avec les fournisseurs…
5. Quand on est prêt, on peut obtenir la certification, qui atteste aux yeux de tous que l’entreprise se saisit réellement des préoccupations de sécurité de l’information, et qu’elle les traite beaucoup mieux que ses concurrents.
Évidemment il ne s’agit pas d’un acquis définitif. Cela montre que votre entreprise a la bonne méthode pour traiter le risque lié à l’information, de manière dynamique et évolutive.
Devenir ceinture noire en sécurité
Vous l’aurez compris, si elle est un art martial utile à toutes les entreprises qui se soucient de la sécurité de leurs informations, l’ISO 27001 compte dans ses rangs une majorité de ceintures noires qui viennent du même dojo : high-tech, digital, et secteurs sensibles apparentés.
Je vous cite quelques exemples :
-un cabinet de conseil international très branché digital, Wavestone
–Niji(ça fait Budo, non ? c’est en Bretagne), un spécialiste de la transformation numérique
–SELP, un producteur de cartes sécurisées genre carte bleue (basé vers Angoulême)
– UC GROUP (12/14), spécialiste de la transformation digitale
L’ISO 27001 n’est pas une transmission secrète réservée à l’élite de la sécurité informatique. C’est une démarche qui s’adresse à des entreprises qui sont souvent à la pointe de l’innovation. Mais chez lesquelles la sécurité de l’information est un point faible qui peut les envoyer au tapis.
Avec l’ISO 27001 il s’agit avant tout d’une méthode, une démarche d’organisation, qui doit vous permettre de sécuriser les informations essentielles de votre activité.
On pense évidemment à la protection des données contre le vol, la perte, on pense aux sinistres, mais on pense moins à des aspects comme la disponibilité de l’information par exemple.
Alors, vous êtes plutôt Kill Bill, électrisé par les opportunités et les dangers, un peu sur le fil du katana en ce début d’année 2019 ?
Venez la semaine prochaine découvrir la suite dans le BILLET 2 (leu reutour !), qui récapitulera les points forts de la méthode de combat 27001.
…venez aussi si vous vous sentez plutôt Kung-Fu Panda.
Thomas,
(qui a fait une salutation martiale en quittant cette page)
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
