La création d’un plan de sécurité de l’information passe par l’élaboration d’un document qui clarifie les mesures de protection à prendre en ce qui concerne les technologies de l’information utilisées au sein d’une organisation.
Une fois que l’on a une vue d’ensemble de ces mesures de protection de l’infrastructure informatique, on passe aux points suivants, étape par étape ;
-
Identifiez les personnes qui ont des intérêts dans votre organisation.
Quelles sont les personnes impliquées dans le projet de plan de sécurité, par exemple la personne chargée des technologies de l’information, qu’elle travaille en interne ou en externe, ou le responsable des technologies de l’information. Définissez également leur rôle dans le plan de sécurité afin que les gens sachent qui a quelle autorité. Identifiez les personnes impliquées dans votre plan de sécurité. Veillez également à déterminer qui est responsable en cas d’incident.
-
Déterminer ce qui doit être sécurisé.
Pour déterminer ce qui doit être correctement sécurisé, il convient de dresser une liste des lieux où les données sont conservées, des réseaux utilisés et des serveurs actifs. Une fois cette liste complétée, nous pouvons déterminer quelles sont les données les plus importantes. Ces données peuvent résider sur un serveur, dans le nuage et aussi, par exemple, sur un système ERP ou CRM, ou encore sur un serveur de courrier électronique.
Il convient d’accorder une attention particulière aux “données personnelles particulières”, telles que les données relatives aux patients ou les données financières.
-
Quels systèmes de sécurité appliquer ?
Il s’agit ici de vérifier si l’équipement de sécurité utilisé par l’organisation est suffisant pour assurer une sécurité optimale. C’est là qu’intervient le plan de sécurité de l’information. Par sécurité de l’information ou cybersécurité, nous entendons les équipements tels que les applications anti-malware, la manière dont les sauvegardes sont effectuées, le type de pare-feu utilisé et l’utilisation ou non de connexions VPN.
-
Prendre des mesures pour reconnaître les failles de sécurité.
L’identification des failles nécessite également des mesures pour reconnaître une menace ou une tentative de piratage. Vous pouvez surveiller votre réseau de différentes manières ou installer un logiciel qui envoie automatiquement des alertes en cas d’irrégularités, comme la détection d’attaques DOS, de tentatives d’hameçonnage, la reconnaissance d’identifiants de connexion compromis ou d’attaques par force brute…
-
Déterminer les méthodes de travail optimales.
La plupart des erreurs peuvent être évitées en sensibilisant le personnel interne, car une violation de données ne passe pas forcément par l’infrastructure informatique, l’erreur humaine pouvant survenir. L’établissement de directives d’utilisation internes afin que le personnel soit bien informé peut déjà prévenir de nombreuses violations. Pour ce faire, des lignes directrices doivent être suivies et contrôlées. L’utilisation de l’AMF (autorisation multifactorielle) et de codes uniques par contrôleur, définis par le responsable de la protection de la vie privée, est déjà un bon début. Notez également dans le plan de sécurité de l’information que les employés ne doivent pas accéder au réseau WIFI de l’entreprise avec leurs propres appareils, mais qu’ils doivent créer un réseau WIFI invité à cette fin.
-
Établir des procédures de sécurité.
Il convient d’établir des procédures telles que savoir ce qu’il faut faire en cas de violation de données ou de tentative d’intrusion pour voler des données à caractère personnel. Ainsi, la personne qui détecte une violation sait immédiatement quelle mesure prendre, par exemple alerter le consultant en sécurité ou un numéro de contact interne. Préparez également des instructions pour les employés lorsqu’une violation de données est identifiée, afin que le problème ou la tentative de problème puisse être traité de manière adéquate.
-
Effectuer régulièrement un audit.
Tout système peut être piraté, ne serait-ce que par un ancien employé mécontent qui peut encore se connecter. Il convient donc de procéder à des audits réguliers, tant sur les opérations commerciales que sur l’infrastructure informatique et l’utilisation des communications. Les vulnérabilités peuvent également être identifiées au cours de ces audits, ce qui crée un nouveau
cycle PDCA
peut être élaboré. -
Former votre personnel à la sécurité de l’information.
Mieux vaut prévenir que guérir, c’est un fait connu, et pas seulement dans le domaine de la sécurité informatique. Organisez régulièrement des journées d’information pour les membres du personnel et sensibilisez-les aux dangers et aux pratiques en matière de sécurité, que ce soit en ligne ou hors ligne. Un homme averti en vaut deux ! Le fait de cliquer sur des courriels suspects peut déjà représenter un grand danger pour votre organisation.
-
Poursuivre le suivi du plan de sécurité de l’information.
Les pirates informatiques sont des personnes inventives qui s’amusent à créer sans cesse de nouveaux moyens de voler des informations. C’est pourquoi le plan de sécurité de l’information doit être constamment contrôlé et renouvelé. Désigner une personne chargée de surveiller et de communiquer ces menaces à tous les employés. Si vous êtes très impliqué dans la sécurité de votre entreprise, vous pouvez rédiger ce document avec très peu d’apport des autres parties prenantes. Toutefois, si vous faites appel à un fournisseur de services informatiques pour la gestion de la cybersécurité, vous aurez peut-être besoin de son aide pour préparer votre plan.
