Dans la gestion de la sécurité de l’information, il apparait essentiel d’avoir une démarche métier vers l’information et privilégier la spécificité de chaque métier, VS une démarche des systèmes d’information vers la stratégie de l’entreprise et ses métiers.
Construire un scénario de menace du type « subtiliser des informations R&D avec une clef USB et engendrer une perte de compétitivité » réduit le spectre de l’analyse des risques et l’efficience des solutions de sécurité. Alors qu’une démarche top-down, permet d’examiner l’ensemble des menaces relatives au scénario de risque « perte de compétitivité de l’entreprise à la suite d’un vol ou une divulgation d’information ».
Pour exemple, l’interview d’un patron R&D à propos de la fuite de données relative à ses travaux, procédés et savoir-faire, permet d’identifier des menaces :
- Internes de divulgation de données sensibles par erreur ou par malveillance par des personnels dans l’entreprise,
- Externes de phishing, cyberattaques …
Cette approche pragmatique permet alors d’examiner en particulier les vulnérabilités des ressources exposées dans ce scénario de risque métier spécifique, en faisant un focus sur les processus, bases de données, fichiers, équipements, etc.
Pour répondre à ce scénario de risque, la définition des solutions de protection dans le champ organisationnel, fonctionnel, humain seront mieux adaptées.
Dans cette démarche, chaque métier identifie ses risques et les conséquences pour l’entreprise en termes de perte de compétitivité, économique, financière, image de marque, de conséquences, juridique, sociale …
L’approche Top down dans le domaine de la sécurité de l’information permet de faire un focus sur les ressources stratégiques et ainsi « ne pas passer à côté de l’essentiel ».
Cette démarche vise l’efficience et l’économie de moyens par la protection spécifique des ressources stratégiques de façon prioritaire tout en assurant une sécurité standard basée sur l’état de l’art, à l’ensemble des actifs informationnels de l’organisation.
La suite au prochain épisode.