Homologation du SI : les 3 axes à ne pas négliger

Quand on parle de Sensibilisation Sécurité des SI (SSI), on désigne et mélange parfois trois niveaux bien distincts de maturité Cyber :

1. La sensibilisation des collaborateurs aux menaces extérieures, ce qui englobe la communication externe d’informations, la prévention contre le phishing, et l’hygiène cyber du poste de travail
2. La maîtrise du SI, pour s’appuyer sur un socle technique de confiance et une organisation éprouvée.
3. Le cloisonnement interne de l’information entre VIP, Key People et sachants, qui concerne surtout des mesures palliatives aux menaces internes (fraude, corruption, espionnage etc … ).

Si les étages inférieurs et supérieurs de la pyramide sont également importants pour augmenter son niveau de protection, le cœur des projets techniques d’envergure se concentrent sur la maîtrise du SI. Ce sont ces projets qui permettent, quand ils portent leurs fruits, de s’inscrire dans une démarche de respect d’exigences RGS, LPM, ou autres.

On va donc s’intéresser ici à 3 problématiques concrètes de la maîtrise du SI qui d’après notre expérience, sont à la fois les plus difficiles à surmonter et les plus constatées dans les démarches d’audit et d’homologation :

• La Cartographie des assets
• Patching et MCS
• Security by design