La mise en œuvre au niveau de l’entreprise de politiques et de procédures de gestion sécurisée de l’information, permet non seulement le déploiement de mesures informatiques techniques adéquates, mais également la réalisation d’un changement organisationnel dans la façon de travailler de toutes les personnes qui composent l’entreprise .
Le fait de disposer de documents internes qui servent de guides d’action, permet non seulement d’anticiper d’éventuels problèmes et faiblesses au niveau de la sécurité et de la confidentialité, mais aussi et en cas de cyberattaque, de savoir apporter une réponse rapide et conjointe entre toutes les zones et départements touchés, afin de contenir l’incident.
C’est pourquoi nous venons de rappeler en résumé 10 recommandations sur lesquelles doit se baser une bonne gestion de la sécurité dans notre entreprise (sans suivre l’ordre strict des sections de la norme ISO/IEC27001) :
- Déterminer le contexte de l’entreprise en matière de sécurité , en tenant particulièrement compte de la législation applicable à un certain type de données ou d’activités (Protection des données – RGPD, Cybersécurité – Réglementation NIS, etc.).
- Consulter les avis des tiers intéressés et adopter les suggestions et recommandations des clients et des fournisseurs pour améliorer la sécurité.
- Comparez la gestion de la sécurité actuelle avec le périmètre et le champ d’application des normes et cadres de référence (ISO/IEC27001 ou National Security Scheme).
- Déterminer les risques existants et définir les mesures techniques et organisationnelles adéquates à mettre en œuvre pour les atténuer.
- Obtenir l’engagement et le soutien de la haute direction d’apporter les modifications nécessaires au niveau de sécurité et d’adapter l’activité de l’entreprise aux principes de base de confidentialité, d’intégrité, de disponibilité et de résilience.
- Attribuer des rôles, des responsabilités et des compétences clairs et correctement planifiés dans le temps et définir des équipes de veille permanente qui adaptent les politiques et procédures à l’évolution de l’entreprise et des technologies utilisées.
- Motiver et éduquer le personnel par la formation et les incitations , afin qu’ils soient en mesure de déterminer le niveau de sécurité applicable à chaque type d’information et de détecter de manière indépendante d’éventuelles faiblesses ou menaces.
- Favoriser la communication interne entre tous les domaines , et entre eux et le responsable de la sécurité ou la direction informatique, par des canaux connus et continus.
- Examiner périodiquement le niveau de sécurité par le biais d’audits internes et externes pour garantir une amélioration continue et une bonne adaptation au changement.
- Augmenter la certification de notre système de gestion de la sécurité de l’information conformément à la norme ISO / IEC27001 ou National Security Scheme, en tant que sceau de garantie et de confiance.