Fiche d'Expression Rationnelle des Objectifs de Sécurité

La plupart des entreprises a encore des difficultés à concevoir que leur sécurité peut être défaillante. Ceci est particulièrement vrai dans un contexte de PME-PMI. Chaque structure préfère croire que les pertes de données n'arrivent "qu'aux autres" et argue souvent que les audits effectués par des sociétés spécialisées type SSII sont trop onéreux pour leur budget.

Malheureusement, les dirigeants ou responsables informatiques oublient de se poser une question cruciale : "combien cela me coûtera-t-il si l'informatique de mon entreprise, ma base de donnée client ou ma comptabilité par exemple, disparaissait ?". En effet, cette question devrait pouvoir sensibiliser n'importe quel décideur responsable, et l'amener à faire valider la cohérence de ses systèmes d'informations et de sauvegardes.

Il existe aujourd'hui sur le marché différentes méthodes permettant d'auditer de manière fiable et autonome une entreprise. Cependant, il faut garder en tête que faire appel à des professionnels serait plus judicieux.

Dans tous les cas, voici une synthèse des quatre principales méthodes disponibles sur le marché :

1. La méthode Feros
2. La méthode Méhari
3. La méthode Marion
4. La méthode Melissa.

Qu'est-ce que la méthode FEROS ?

La méthode FEROS signifie : Fiche d'Expression Rationnelle des Objectifs de Sécurité des Systèmes d'Information.

Elle part du constat simple que les Responsables Informatiques sont généralement chargés de veiller sur :

- le bon fonctionnement des matériels et réseaux de communication de l'entreprise,
- l'intégrité des données qui circulent, sont sauvegardées et archivées.

Partant de ce constat, il est donc primordial de définir des objectifs de sécurité à mettre en oeuvre dans l'entreprise.
Pour ce faire, il faut commencer par déterminer les besoins de la structure auditée :

- identification des données cruciales,
- détermination d'un seuil de tolérance de disponibilités ou inaccessibilité des dites données
- identification des impératifs légaux incontournables qu'il faut respecter.

En parallèle de ces objectifs doivent se trouver les contraintes incontournables que rencontre la société :

- contraintes matérielles,
- contraintes de limitation de savoir faire en interne,
- contrainte de disponibilités des ressources hommes etc.

C'est en confrontant les besoins de l'entreprise en matière de sécurité avec les contraintes auxquelles elle doit faire face qu'il faudra déterminer la politique de sécurité à mettre instaurer.

Une fois les grands axes de cette politique définis, il est important selon la méthode FEROS de s'interroger sur les menaces que l'entreprise peut rencontrer :

- piratage amateur à vocation ludique,
- piratage professionnel à la solde de la concurrence,
- piratage d'un personnel interne en colère contre l'entreprise etc .....

La méthode FEROS s'articule autour de quatre axes principaux :

- un guide permettant à chaque structure auditée de rédiger un questionnaire qui lui sera propre,
- le questionnaire structuré qui permettra de mettre en évidence les particularités de l'entreprise,
- un glossaire qui définira précisément le sens de chaque terme technique employé pour le vulgariser auprès des décideurs non techniques,
- une synthèse des menaces potentielles qui permettra d'en prévoir les parades.

Cette méthode émane du SCSSI et vous la retrouverez intégralement sur leur site.

Notre opinion : Cette méthode possède le gros avantage d'être simple d'appréhension pour un non initié à la technique. Fonctionnelle et structurée cette méthode permet de réagir rapidement et pourquoi pas de préparer le travail d'une société extérieure qui sera chargée d'approfondir chaque point soulevé par l'application de cette méthode. En effet, elle nous semble être un bon moyen de "préparer le terrain" et donc réaliser des économies substantielles en ne faisant appel à des spécialistes qu'une fois le terrain déblayé. Plus d'informations sur nos services d'audit en cliquant ici.

Tags

MÉTHODOLOGIE D'AUDIT

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...