dimanche 22 mai 2011

P4R4RISQUE : UN SUPPORT INSPIRÉ DU MONOPOLY POUR FAIRE ADHÉRER L’ENTREPRISE A UNE DÉMARCHE DE SÉCURITÉ ISO27000

Par Dominique Ciupa

Christophe Jolivet, expert SSI français vivant à Québec depuis 12 ans, propose une formation et surtout un support à destination des organisations/entreprises pour les faire adhérer à une démarche de gestion de risques de sécurité d’information. Une initiative originale qui s’appuie notamment sur les normes ISO 27002 et ISO 27005 et vise à les rendre accessibles à tous.

La sécurité de nos systèmes d’information passe désormais par une phase préalable de gestion des risques. Ce point est incontournable et partagé par l’ensemble des professionnels de la sécurité de l’information. La gestion des risques TI n’est en effet pas une simple question d’expert en sécurité des SI, mais doit être orientée par toutes les directions métier de l’entreprise. Ce sont elles qui doivent exprimer leurs besoins en termes de disponibilité, d’intégrité et de confidentialité de l’information. Information avec laquelle elles travaillent dans le contexte de l’entreprise. Ce sont elles aussi qui doivent expliquer les événements redoutés et ainsi permettre de mieux comprendre la nature des impacts sur les affaires en cas d’évènements indésirables liés aux TI et la vraisemblance de ces impacts. In fine, ce sont elles qui peuvent apprécier les risques et établir le lien nécessaire avec la direction générale de l'entreprise.

De son côté, l’expert en sécurité, donne des recommandations pour parer ces risques, mais ne peut rien sans le reste des acteurs de l’entreprise (sauf imposer des mesures injustifiées qui risqueront d’être rejetées…).

En d’autre termes, faire la promotion de mesure de sécurité sans prise en compte du contexte, imposer à l’ensemble de ses employés, décideurs compris des cours magistraux sur les normes de la famille ISO 27000 ne peut qu’entraîner rejet, refus, et opposition catégorique.
Christophe Jolivet (cjolivet@pr4gm4.com) propose une approche ludique pour recevoir l’adhésion de ces personnes et les inciter à échanger sur la sécurité de l’information par le biais de son support convivial. Avec « P4R4RISQUE », il met en scène un ensemble de scénarios de risques devant être gérés (accepter, transférer, refuser ou réduire) par l’acquisition de mesures de sécurité de différents types tels que la journalisation, la gestion des accès, la surveillance et la gestion des configurations. Les bonnes pratiques de l’ISO 27002 y sont présentées ainsi que la démarche de gestion des risques de sécurité de l’information ISO 27005 afin de sensibiliser son auditoire aux concepts de la SSI.

Ce qui était rébarbatif et repoussant devient alors ludique et pédagogique afin d’améliorer la compréhension et ainsi assurer une meilleure rétention des bonnes pratiques . Une manière habille pour initier et supporter la mise en œuvre d’un SMSI à travers un programme de sensibilisation.

P4R4RISQUE est disponible en plusieurs langues et est personnalisable pour chaque entreprise :

www.p4r4risque.com www.p4r4riesgo.com www.p4r4risk.com

Un outil à examiner pour tout projet de mise en œuvre d'un SMSI.
lien: http://www.mag-securs.com/News

Aucun commentaire:

Enregistrer un commentaire