Il est possible de ségmenter la sécurité des systèmes d’information en 11 thèmes :
- Politique de sécurité
- Organisation de la sécurité
- Gestion des biens
- Sécurité et personnel
- Sécurité physique et environnementale
- Exploitation et réseaux
- Contrôle d’accès
- Maintenance et développement
- Gestion des incidents de sécurité
- Continuité d’activité
- Conformité
Nous allons voir les questions à se poser, en tout cas celles qu’on vous pose généralement lors d’un audit. Ces thèmes sont issus des normes ISO/IEC 2700x.
Autant le dire tout de suite, je n’ai jamais vu d’entreprise capable de répondre efficacement sur l’ensemble des questions qui suivront (exception faite des structures comme les datacenters, et encore pas tous). Il en existe peut-être, mais sûrement très peu.
A moins que vous y soyez contraint de façon réglementaire, plutôt que de tout vouloir traiter d’un coup je vous conseille de parcourir le contenu de ces thèmes et d’y trouver les sujets que vous pourriez traiter « rapidement » et ceux qui vous semble prioritaire au regard de votre situation. Et ensuite, grâce à PDCA, vous pourrez augmenter votre niveau en SSI avec le temps.