Atelier 1 : mise en pratique de la fonction de conseiller en sécurité de l’information
Atelier 1 : mise en pratique de la fonction de conseiller en sécurité de l’information
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
L’objectif est de répondre à la problématique sur la Responsabilité du CSI afin de permettre d’identifier les pièges et les difficultés rencontrées dès l’entame de la mission de CSI.
Le groupe répond et 4 éléments sortent rapidement du lot :
1. Légitimité reconnue du CSI
Le CSI ne doit pas être vu comme un « fusible » qui va être capable de tout gérer. Sa fonction doit être officialisée auprès de toutes les parties, et il/elle doit avoir les compétences suffisantes et nécessaires pour mener à bien sa mission. Les compétences ici ne veulent pas dire forcément avoir un diplôme spécifique, mais parlent plutôt d’un profil de fonction en adéquation avec les challenges à affronter. Idéalement, il faut prendre le temps de choisir la bonne personne qui a déjà un intérêt pour la fonction plutôt que de mettre quelqu’un en place afin de satisfaire à la loi, sans quoi c’est un risque d’échec.
Le CSI doit se voir octroyer les moyens suffisants pour mener à bien les tâches qui lui incombent. Par moyens suffisants, on entend des ressources, du budget, éventuellement de la formation spécifique ou de l’aide externe, tant les différentes matières qui touchent à la Sécurité de l’Information sont nombreuses et spécifiques. Par ressources, on entend également le support des « collègues » opérationnels ou autres, qui sont reconnus au sein de l’administration comme « Experts » dans leur domaine ou dans leur métier spécifique.
2. - Implication de la Direction
L’implication de la direction est la pierre angulaire de la réussite de la mission du CSI. La direction valide, entre autres, les budgets, la légitimité du CSI, son engagement envers les parties tierces et prenantes aux différents projets.
3. - Sensibilisation & conscientisation de la Direction
La direction doit être conscientisée sur l’effort à fournir par le CSI pour mener à bien sa mission. La sensibilisation à la Sécurité de l’information peut être vue comme un outil permettant d’identifier les différents domaines de la sécurité de l’information ainsi que les risques émergents (Réseaux Sociaux, BYOD, Applications Mobiles, etc.). La sensibilisation permet d’asseoir un peu plus l’engagement de la direction (ex : l’exemple vient d’en haut), et d’aligner le vocabulaire technique des différents métiers.
4. - Identification de l’information
On ne peut pas apprécier les risques pour un périmètre que l’on ne maitrise pas. Le fait que l’information puisse revêtir différentes formes (ex : fax, communication verbale, mail, support papier, clé USB, DVD, Base de Données,…) et avoir différents besoins et niveaux de services respectifs (confidentialité, intégrité, disponibilité, non-répudiation, imputabilité,…) complexifie le rôle du CSI. Ce dernier peut utiliser des outils connus mondialement, ou utiliser ses propres méthodes.
L’inventaire de l’information passe par l’identification des besoins et des processus (ex : quel type d’information utilisons-nous, comment la classifions nous, au travers de quel(s) processus est-elle utilisée, dans quel(s) système(s) d’information(s),…) nécessaires pour atteindre les objectifs fixés pour l’organisation.
Le CSI devra réaliser des analyses de risques afin de préparer son plan de sécurité à 3 ans, et l’identification de l’information (inventaires des ressources) est la toute première étape d’une analyse de risques.
Réflexion sur le rôle du conseiller (Coordination & Communication) Coordination Le CSI ne peut pas connaître les spécificités de tous les métiers sous-jacents. Il est plutôt vu comme un chef de projet (ex : architecte pour une maison) qui coordonne les différents corps de métiers afin de respecter le cahier des charges (le plan de sécurité). Cette coordination se veut le plus souvent transversale.
Le CSI est désigné par la Direction et est son délégué. C’est la Direction qui reste responsable (en : Accountable) en cas de dysfonctionnement, elle délègue par contre au CSI le rôle d’exécution de sa Politique de Sécurité (en : Responsible)
Communication Le CSI fait office de relais entre les métiers et la direction en ce qui concerne les risques et les besoins en sécurité. La communication se veut verticale et dans les deux sens.
Il peut échanger ses bonnes pratiques avec les différents experts des SPF/FOD. Tout le monde y gagne.
Conseil Le CSI remet des avis, son rôle ne doit pas être vu comme un « gendarme » mais plutôt comme un allié, qui maîtrise le périmètre de son Système d’information et peut ainsi aligner au mieux l’IT sur les besoins métiers tout en garantissant une sécurité de l’information acceptée et validée par la direction.
Outils Le CSI peut s’aider dans sa tâche quotidienne de nombreux outils et techniques, tels que Cobit, ITIL, les normes ISO 27000, l’analyse de risque (p.ex. EBIOS), …Ces outils et techniques sont des Frameworks, des bonnes pratiques et des référentiels internationaux reconnus et fort utilisés. Cette liste n’est pas exhaustive. Les futures exigences européennes en matière de protection de la vie privée sont plus grandes que la loi belge actuelle…
L’utilisation d’outils mondialement reconnus permet de parler un langage commun et de gagner du temps. Ils permettent plus facilement de (se) comparer avec d’autres organisations et d’échanger sur les difficultés rencontrées. Ne réinventons pas la roue. Les outils peuvent aussi être considérés comme un activateur de QuickWin (aller vite à l’essentiel). Il gagne ses galons dans les 100 premiers jours.
L’utilisation d’outils, par contre, ne résout pas tout. Le CSI ne pourra pas mettre en place une bonne gestion de la sécurité de l’information si la maturité globale de l’organisation n’est pas présente. On ne peut pas aller plus vite que l’organisation… C’est également une des raisons qui justifie l’implication de la direction dans la validation des tâches du CSI.
Le CSI peut s’aider d’une grille d’analyse d’impact. Quel est l’impact sur la confidentialité des données si tel risque venait à se produire ? Quel est l’impact d’une atteinte à la confidentialité sur les objectifs et les enjeux de l’organisation ? Cette grille peut être pré-remplie et proposée par le CSI à la Direction, mais c’est la Direction qui la valide au final. Cette grille d’impact sera également utile dans l’analyse des risques.
Le CSI doit réaliser des analyses de risques – Le problème des analyses des risques est que deux personnes différentes ne vont pas estimer un risque de la même manière ; c’est pourquoi il est important de définir une méthode d’analyse de risques qui est à la fois pragmatique et répétable, ainsi que des échelles communes bien comprises par tous.
Conclusions La tâche du CSI est importante mais peut être abordée sereinement ; mettre quelqu’un en place sans lui fournir tout le support nécessaire (légitimité, implication de la direction, formation, externalisation,…) à sa mission ne suffit pas pour être conforme avec la loi.
Des outils peuvent être utilisés pour faire levier mais ne suffisent pas.
Le plus gros challenge du CSI est de répondre aux besoins ‘business’ tout en maintenant la sécurité de l’information. La sécurité de l’information ne doit pas être vue comme un frein mais comme une assurance (envers un processus, une entité, un service, des parties prenantes,…)
Le CSI est conseiller, coordinateur, communicateur, collaborateur, centre de connaissance.
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
L’objectif est de répondre à la problématique sur la Responsabilité du CSI afin de permettre d’identifier les pièges et les difficultés rencontrées dès l’entame de la mission de CSI.
Le groupe répond et 4 éléments sortent rapidement du lot :
1. Légitimité reconnue du CSI
Le CSI ne doit pas être vu comme un « fusible » qui va être capable de tout gérer. Sa fonction doit être officialisée auprès de toutes les parties, et il/elle doit avoir les compétences suffisantes et nécessaires pour mener à bien sa mission. Les compétences ici ne veulent pas dire forcément avoir un diplôme spécifique, mais parlent plutôt d’un profil de fonction en adéquation avec les challenges à affronter. Idéalement, il faut prendre le temps de choisir la bonne personne qui a déjà un intérêt pour la fonction plutôt que de mettre quelqu’un en place afin de satisfaire à la loi, sans quoi c’est un risque d’échec.
Le CSI doit se voir octroyer les moyens suffisants pour mener à bien les tâches qui lui incombent. Par moyens suffisants, on entend des ressources, du budget, éventuellement de la formation spécifique ou de l’aide externe, tant les différentes matières qui touchent à la Sécurité de l’Information sont nombreuses et spécifiques. Par ressources, on entend également le support des « collègues » opérationnels ou autres, qui sont reconnus au sein de l’administration comme « Experts » dans leur domaine ou dans leur métier spécifique.
2. - Implication de la Direction
L’implication de la direction est la pierre angulaire de la réussite de la mission du CSI. La direction valide, entre autres, les budgets, la légitimité du CSI, son engagement envers les parties tierces et prenantes aux différents projets.
3. - Sensibilisation & conscientisation de la Direction
La direction doit être conscientisée sur l’effort à fournir par le CSI pour mener à bien sa mission. La sensibilisation à la Sécurité de l’information peut être vue comme un outil permettant d’identifier les différents domaines de la sécurité de l’information ainsi que les risques émergents (Réseaux Sociaux, BYOD, Applications Mobiles, etc.). La sensibilisation permet d’asseoir un peu plus l’engagement de la direction (ex : l’exemple vient d’en haut), et d’aligner le vocabulaire technique des différents métiers.
4. - Identification de l’information
On ne peut pas apprécier les risques pour un périmètre que l’on ne maitrise pas. Le fait que l’information puisse revêtir différentes formes (ex : fax, communication verbale, mail, support papier, clé USB, DVD, Base de Données,…) et avoir différents besoins et niveaux de services respectifs (confidentialité, intégrité, disponibilité, non-répudiation, imputabilité,…) complexifie le rôle du CSI. Ce dernier peut utiliser des outils connus mondialement, ou utiliser ses propres méthodes.
L’inventaire de l’information passe par l’identification des besoins et des processus (ex : quel type d’information utilisons-nous, comment la classifions nous, au travers de quel(s) processus est-elle utilisée, dans quel(s) système(s) d’information(s),…) nécessaires pour atteindre les objectifs fixés pour l’organisation.
Le CSI devra réaliser des analyses de risques afin de préparer son plan de sécurité à 3 ans, et l’identification de l’information (inventaires des ressources) est la toute première étape d’une analyse de risques.
Réflexion sur le rôle du conseiller (Coordination & Communication) Coordination Le CSI ne peut pas connaître les spécificités de tous les métiers sous-jacents. Il est plutôt vu comme un chef de projet (ex : architecte pour une maison) qui coordonne les différents corps de métiers afin de respecter le cahier des charges (le plan de sécurité). Cette coordination se veut le plus souvent transversale.
Le CSI est désigné par la Direction et est son délégué. C’est la Direction qui reste responsable (en : Accountable) en cas de dysfonctionnement, elle délègue par contre au CSI le rôle d’exécution de sa Politique de Sécurité (en : Responsible)
Communication Le CSI fait office de relais entre les métiers et la direction en ce qui concerne les risques et les besoins en sécurité. La communication se veut verticale et dans les deux sens.
Il peut échanger ses bonnes pratiques avec les différents experts des SPF/FOD. Tout le monde y gagne.
Conseil Le CSI remet des avis, son rôle ne doit pas être vu comme un « gendarme » mais plutôt comme un allié, qui maîtrise le périmètre de son Système d’information et peut ainsi aligner au mieux l’IT sur les besoins métiers tout en garantissant une sécurité de l’information acceptée et validée par la direction.
Outils Le CSI peut s’aider dans sa tâche quotidienne de nombreux outils et techniques, tels que Cobit, ITIL, les normes ISO 27000, l’analyse de risque (p.ex. EBIOS), …Ces outils et techniques sont des Frameworks, des bonnes pratiques et des référentiels internationaux reconnus et fort utilisés. Cette liste n’est pas exhaustive. Les futures exigences européennes en matière de protection de la vie privée sont plus grandes que la loi belge actuelle…
L’utilisation d’outils mondialement reconnus permet de parler un langage commun et de gagner du temps. Ils permettent plus facilement de (se) comparer avec d’autres organisations et d’échanger sur les difficultés rencontrées. Ne réinventons pas la roue. Les outils peuvent aussi être considérés comme un activateur de QuickWin (aller vite à l’essentiel). Il gagne ses galons dans les 100 premiers jours.
L’utilisation d’outils, par contre, ne résout pas tout. Le CSI ne pourra pas mettre en place une bonne gestion de la sécurité de l’information si la maturité globale de l’organisation n’est pas présente. On ne peut pas aller plus vite que l’organisation… C’est également une des raisons qui justifie l’implication de la direction dans la validation des tâches du CSI.
Le CSI peut s’aider d’une grille d’analyse d’impact. Quel est l’impact sur la confidentialité des données si tel risque venait à se produire ? Quel est l’impact d’une atteinte à la confidentialité sur les objectifs et les enjeux de l’organisation ? Cette grille peut être pré-remplie et proposée par le CSI à la Direction, mais c’est la Direction qui la valide au final. Cette grille d’impact sera également utile dans l’analyse des risques.
Le CSI doit réaliser des analyses de risques – Le problème des analyses des risques est que deux personnes différentes ne vont pas estimer un risque de la même manière ; c’est pourquoi il est important de définir une méthode d’analyse de risques qui est à la fois pragmatique et répétable, ainsi que des échelles communes bien comprises par tous.
Conclusions La tâche du CSI est importante mais peut être abordée sereinement ; mettre quelqu’un en place sans lui fournir tout le support nécessaire (légitimité, implication de la direction, formation, externalisation,…) à sa mission ne suffit pas pour être conforme avec la loi.
Des outils peuvent être utilisés pour faire levier mais ne suffisent pas.
Le plus gros challenge du CSI est de répondre aux besoins ‘business’ tout en maintenant la sécurité de l’information. La sécurité de l’information ne doit pas être vue comme un frein mais comme une assurance (envers un processus, une entité, un service, des parties prenantes,…)
Le CSI est conseiller, coordinateur, communicateur, collaborateur, centre de connaissance.