Définir ses besoins en matière de sécurité informatique c’est faire un état des lieux du système existant, étudier les risques et les menaces qu’ils déclencheraient et mettre en place une politique de sécurité. La définition de vos besoins comprend trois grandes étapes.

La reconnaissance des nécessités

Elle consiste à faire l’inventaire des composants et de toutes les ressources qui forment le système d’information. En voici quelques exemples :

  • Les utilisateurs, leurs attributions et leurs rôles sur le système d’information,
  • Le matériel, les serveurs et leurs fonctionnalités et les services qu’ils délivrent,
  • Une cartographie du réseau (les adresses, les liens entre les machines et les ressources…),
  • Les différents noms de domaine de l’entreprise,
  • Les infrastructures permettant la circulation des informations (commutateurs, routeurs…),
  • Les données vulnérables.

L’étude des risques

server of critical dataCette étape suppose un listing des risques probables jusqu’aux risques les plus improbables. D’évaluer leur possibilité d’apparition et d’analyser leurs conséquences. Pour ce dernier point, la meilleure façon est de valoriser les préjudices qu’un risque peut enclencher. Par exemple, quel serait le coût d’une attaque sur un serveur ou de la dégradation des données essentielles ? Il est conseillé d’établir un tableau de risque hiérarchisé sur plusieurs niveaux. Voici un exemple de niveaux de probabilité de production d’une menace :

  • Improbable : la menace n’existe pas
  • Faible : l’attaque a peu de chance d’arriver
  • Moyenne : la menace existe
  • Haute : l’agression a de grandes opportunités d’apparaître

Mise en place de la politique de sécurité

La politique de sécurité est un ouvrage interne à l’entreprise, à l’attention de ses employés. Il renferme les objectifs de sécurité informatique et comment y arriver. Ces buts se traduisent par des réglementations, des procédures ou encore par de bonnes pratiques que tout utilisateur doit adopter. Vous trouverez sur internet des modèles de politique de sécurité informatique dont vous pourrez vous inspirer.