Identification des ressources

Premièrement, toute ressource utile à la gestion des informations doit être identifiée et inventoriée. Ainsi, elle doit être affectée à un responsable clairement identifié, lequel sera chargé de faire appliquer la politique de sécurité sur celle-ci.

Ensuite, les ressources et en particulier les informations doivent faire l’objet d’une classification.

En effet, cette classification attribue à chacune d’entre elles les besoins et priorités de protection.

Élaboration du schéma de classification

Nous accompagnons le RSSI dans l’élaboration du schéma de classification sur les 4 axes correspondant aux besoins suivants :

• Disponibilité
• Intégrité
• Confidentialité
• Preuve/contrôle (DICP).

Puis, nous contribuons à la collecte des informations auprès des équipes métiers.

Afin de classifier l’ensemble des processus et des actifs de l’entreprise en s’appuyant sur le schéma de classification défini préalablement.

Notre notion d’analyse des risques SI

L’évolution de la réglementation et de la gouvernance des entreprises met aujourd’hui en avant la notion de maîtrise des risques.

C’est pourquoi l’analyse des risques du SI permet d’assurer la robustesse de l’entreprise face à l’imprévu.

Mais également d’optimiser l’efficacité économique de son dispositif de maîtrise des risques.

De plus, cette prestation consiste à aider l’entreprise dans l’élaboration de la cartographie des risques qui menacent son activité.

Nous vous proposons une démarche qui s’appuie sur les bonnes pratiques et les recommandations issues de la norme ISO 27005.

Puis, selon les besoins exprimés par le client ou son environnement réglementaire, les consultants d’Ageris Consulting peuvent mettre en œuvre les principales méthodes disponibles sur le marché telles que EBIOS (ANSSI) ou MEHARI (CLUSIF).

Les obligations de la SSI

Les obligations réglementaires et juridiques, les impacts financiers ou d’image, les risques opérationnels liés à la défaillance de la gestion des informations obligent les dirigeants à réviser l’organisation et la gouvernance de la sécurité des informations.

Dans ce contexte, il n’est plus raisonnable de ne confier qu’aux seuls informaticiens la responsabilité de la sécurité des informations détenues, produites ou traitées par l’entreprise.

C’est pourquoi la sécurité des informations n’est pas seulement un problème technique. Elle est devenue, au même titre que la gestion de toutes les ressources critiques de l’entreprise, un enjeu commercial qui doit être géré au plus haut niveau de l’organisation.

Nos consultants accompagnent les directions générales dans la mise en œuvre d’une filière Sécurité et dans la définition des rôles et des responsabilités au sein des différentes entités.

Notre notion de Sécurité des Systèmes d’Information (SSI)

La Sécurité des Systèmes d’Information (SSI) recouvre l’ensemble des moyens techniques, organisationnels et humains qui doivent être mis en place. Ces moyens permettent de garantir, au juste niveau requis, la sécurité des données informatiques d’un organisme et des systèmes qui assurent l’élaboration, le traitement, la transmission ou le stockage de ces données.

Ce besoin de sécurité doit être déterminé en fonction de la menace et des enjeux.

De ce besoin de sécurité, découlent les objectifs de sécurité à satisfaire, puis les fonctions qui peuvent être mises en oeuvre pour atteindre ces objectifs, et enfin les moyens aptes à assurer les fonctions retenues.

Nos consultants accompagnent le RSSI dans la définition des exigences métiers (BIA) et des besoins de sécurité.

Les besoins sont exprimés selon les critères DICP et permettent à l’entreprise de définir sa stratégie de protection de son patrimoine.