Grands principes de la gestion de la sécurité des SI

Le RGS définit, à destination des autorités administratives, six grands principes pour une gestion efficace de la sécurité des systèmes d’information (SSI).

  • Adopter une démarche globale de sécurisation des systèmes d’information

Cette démarche globale permet d’assurer la cohérence d’ensemble du dispositif de sécurité couvrant à la fois les dimensions techniques (matériels, logiciels, etc.) et organisationnelles (personnels, sites, procédures, etc.).

  • Gérer les risques SSI

L’analyse des risques permet à l’autorité administrative d’identifier et de qualifier les menaces pouvant affecter son système d’information. Elle peut ainsi déterminer avec précision ses besoins en matière de sécurité. Pour mener à bien cette analyse, l’autorité administrative pourra utiliser la méthode EBIOS conforme à la norme ISO 27005.

  • Adapter la SSI selon les enjeux et les besoins de sécurité des autorités administratives

Il est recommandé que la SSI soit adaptée aux enjeux et besoins de sécurité de l’autorité administrative, afin d’y consacrer les moyens financiers et humains nécessaires et suffisants. Une aide dans cette démarche est proposée dans le Guide relatif à la Maturité SSI qui explique comment déterminer rapidement les enjeux liés à la sécurisation d’un système d'information, comment mesurer l'écart entre le niveau nécessaire de prise en compte de la sécurité et le niveau effectif, et comment en déduire les actions à mettre en œuvre pour atteindre le niveau de sécurité nécessaire.

  • Élaborer une politique de sécurité

La politique de sécurité reflète une vision stratégique et globale de la gestion de la sécurité. Elle pourra être déclinée en règles et procédures pour une mise œuvre opérationnelle. Afin de construire ce document, les autorités administratives peuvent s’appuyer sur le Guide d’élaboration de politiques de sécurité des systèmes d’information.

  • Utiliser des produits et prestataires labellisés SSI

Pour renforcer la sécurité de leurs systèmes d’information, il est recommandé aux autorités administratives d’utiliser, lorsque cela est possible, des produits et des offres de services de prestataires certifiés ou qualifiés par l’ANSSI. Le catalogue des produits qualifiés est disponible sur le site de l’ANSSI.

  • Viser une amélioration continue

Le RGS préconise d’utiliser une démarche d’amélioration continue de la sécurité, telle que définie dans la norme ISO 27001, permettant d’assurer l’efficacité du dispositif de sécurité face à l’évolution des menaces.
 

En complément de ces principes organisationnels, le RGS encourage les autorités administratives à considérer la sécurité des systèmes d’information à toutes étapes du cycle de vie du SI et à procéder de manière systématique à l’homologation de sécurité du SI.

  • Intégrer la SSI dans le cycle de vie des systèmes d’information

Dans tout projet de réalisation ou de modification d’un système d’information, le besoin de sécurité doit être pris en compte au même titre que les besoins fonctionnels que vise à satisfaire le système ou l’application. La SSI est une fonction à considérer très en amont du projet, dès la phase d’étude d’opportunité, afin d’en augmenter l’efficacité et de diminuer son coût. Elle doit ensuite être prise en compte tout au long du cycle de vie du SI, jusqu’à sa fin de vie.

Téléchargez le guide Gestion d'Intégration de la SSI dans les Projets.

  • Procéder systématiquement à l’homologation de sécurité

Avant sa mise en service opérationnelle, tout système d’information doit faire l’objet d’une homologation de sécurité par une autorité d’homologation désignée par l’autorité administrative. Cette opération atteste que le projet a bien pris en compte les exigences de sécurité, que celles-ci sont satisfaites et que le système d’information est apte à entrer en service avec des risques résiduels maîtrisés.

Rubrique suivante

         Fonctions et Niveaux de Sécurité

Lien interne

Télécharger la version PDF