Dans les épisodes de l’intervention de Jean-Yves Oberlé – Président de Sarapis – à la conférence PECB, vous avez pu découvrir une approche différente et efficiente de la gestion de la sécurité de l’information.
Pour être efficiente, une méthodologie doit être : simple, rapide, communicante, et outillée.
Dans cet article, nous vous dévoilons quelques grands principes de la méthodologie SARAPISTM
La méthodologie SARAPISTM se différencie conceptuellement :
- Elle se fonde sur une méthodologie systémique,
- Elle est orientée Métier, elle s’appuie sur une vision des métiers vers les actifs informationnels,
- Elle couvre la majeure partie des risques essentiels encourus par l’organisation, au-delà des seuls risques « systèmes d’information ».
Cette méthodologie innovante a été conçue et développée en synergie avec le monde universitaire (1) et des entreprises (2).
Pragmatique, agile et performante, SARAPISTM donne aux responsables opérationnels les moyens du pilotage du processus de sécurité de l’information dans l’organisation, à des coûts optimisés.
(1) Université Aix-Marseille et Université de Genève.
(2) Régie des Transports Métropolitains Marseille, Labeyrie, Aéroport de Nice Cote d’Azur.
SARAPISTM est conforme aux référentiels normatifs ISO 27001, ISO27002, ISO27004, ISO27005.
L’application simple de SARAPISTM vise une gestion des risques et un pilotage de la sécurité de l’information par :
- La modélisation d’un dispositif de sécurité parfaitement adapté à la spécificité des enjeux, des métiers et de l’environnent d’une organisation en particulier, quel que soit sa taille,
- La protection spécifique des ressources stratégiques de façon prioritaire tout en assurant une sécurité standard basée sur l’état de l’art à l’ensemble des actifs informationnels de l’organisation,
- La production de dispositifs de sécurité rapidement adaptables en fonction de nouveaux besoins, de l’évolution des réglementations et des architectures SI de l’entreprise,
- Le partage de savoir-faire grâce au caractère heuristique (1) de la méthode,
- L’association des objectifs métier et des mesures opérationnelles de sécurité,
- La mise en place d’un vecteur de communication structuré,
- L’établissement d’un pont entre stratégie d’entreprise et sécurité de l’information.
(1) En théorie de la complexité, une heuristique est une méthode de calcul qui fournit rapidement pour un problème d’optimisation, une solution réalisable, pas nécessairement optimale.
Les 3 phases de la méthode SARAPISTM
- Analyse
de risques
- Recensement des processus stratégiques Métier,
- Articulation des processus stratégiques aux ressources spécifiques qui les supportent,
- Identification des menaces qui visent ces ressources,
- Audit de vulnérabilités qui exposent ces ressources,
- Construction de scénarios de risques qui font interagir menaces et vulnérabilités sur les ressources spécifiques en regard des processus Métier,
- Formalisation de la cartographie des risques métier.
- Traitement
des risques
- Définition de la stratégie de traitement des risques,
- Sélection et planification des mesures de sécurité,
- Élaboration des procédures de sécurité.
- Pilotage
des risques
- Élaboration des indicateurs permettant de mesurer l’atteinte des objectifs Métier et la bonne mise en œuvre des mesures de sécurité.
- Constitution de tableaux de bord par niveaux : métier, managérial et sécurité opérationnelle.
Les scénarios de risque, pierres angulaires de la méthode, sont constitués par métier avec la contribution du manager ou « fonctionnel » Métier.
Cette approche a pour effets vertueux :
- De dresser le synoptique d’un
risque Métier avec les composantes qui lui sont spécifiques :
- Conséquences économique, financière, juridique, politique, image de marque et réputation,
- Couples menaces / vulnérabilités,
- Impact / vraisemblance,
- Actifs / ressources informationnelles,
- D’assigner un responsable « propriétaire du risque » à un risque métier,
- D’établir des objectifs et des indicateurs pour la gestion spécifique d’un risque Métier et un pilotage proactif de la sécurité,
- D’impliquer et de mobiliser toutes les parties prenantes du système de management de la sécurité de l’information.
Dans un prochain article, découvrez comment la méthodologie SARAPISTM est outillée avec notre logiciel Small 1.