1.2.3 Mise en oeuvre du cadre
de gestion de la sécurité de l'information
Le facteur essentiel dans la protection des actifs
informationnels et de la confidentialité est de jeter les bases d'une
gestion efficace de la sécurité de l'information. Tous les
acteurs de l'entreprise doivent prendre connaissance et conscience et
s'engager dans le maintien de la sécurité de l'information afin
d'atteindre les buts et objectifs fixés.
1.2.3.1 Engagement de la Haute
Direction
En matière de systèmes d'information, selon
l'IFACI (1993 : 2), la direction générale est responsable de
l'évaluation des risques, de l'établissement de la politique de
sécurité et de la mise en oeuvre d'une structure
organisationnelle. Son rôle lui est délégué par le
conseil d'administration, détenteur légal et suprême des
actifs informationnels. ISACA (2011 : 105) ajoute que la mise en place
d'une gouvernance efficace de la sécurité de l'information et la
détermination des objectifs de sécurité stratégique
de l'organisation dépendent et doivent rencontrer l'appui de la haute
direction. Le développement d'une stratégie de
sécurité de l'information nécessite qu'elle soit
intégrée et alignée aux objectifs globaux de
l'entreprise.
Selon l'IFACI (1993 : 2) : l'engagement de la haute
direction consiste à :
ü effectuer une évaluation des
risques liée à la confidentialité,
l'intégrité et la disponibilité des données et des
ressources ;
ü établir une politique de
sécurité à l'échelle de l'organisation
dans le but de canaliser le développement efficace des procédures
et des pratiques de sécurité, de protéger les
infrastructures et actifs critiques de l'entrepriseet de responsabiliser
l'ensemble du personnel.Une politique de sécurité de
l'information est un ensemble de documents indiquant les directives,
procédures, lignes de conduite, règles organisationnelles et
techniques à suivre relativement à la sécurité de
l'information et à sa gestion. C'est une prise de position et un
engagement clair et ferme de protéger l'intégrité, la
confidentialité et la disponibilité de l'actif informationnel de
l'entreprise ;
ü mettre en place une structure
organisationnelle afin de contrôler régulièrement
la conformité des opérations avec la politique de
sécurité. Peter Drucker pouvait dire dans l'énonciation de
sa théorie sur le management des entreprises « une
structure organisationnelle solide est un prérequis à la
santé et à la performance d'une organisation. Et le test d'une
entreprise en bonne santé se définit par la performance de son
personnel».
La direction générale doit s'atteler à
mettre en place, par le biais d'un service dédié à la
sécurité de l'information du système d'information, des
dispositifs sécuritaires adéquats à l'entreprise toute
entière. Notons que les politiques, objectifs et activités de
sécurité doivent être en phase avec les objectifs et buts
globaux de l'entreprise et s'inscrire dans une approche conforme à sa
culture. Il lui faut pour cela un plan de sécurité adapté
à ses activités. Selon Pipkin (2000), cinq (5) phases sont
importantes pour élaborer un plan de sécurité à
savoir :
ü inspection : Identifier les
fonctionnalités qui sont à la base des activités de
l'entreprise.Évaluer les besoins en sécurité de
l'organisation.
ü protection : Mettre en place des
moyens pour une réduction dynamique des risques.
ü détection : Mettre en place des
moyens pour une réduction réactive des risques.
ü réaction : Mettre en place un
plan de secours d'urgence.
ü réflexion: Une fois l'incident
terminé et tout remis en place, procéder à l'étude
del'événement.
La direction générale a l'autorité et
doit s'engager à représenter l'organisation dans la protection et
la sécurité de l'information. Elle doit définir les
grandes lignes de sécurité qui doivent être suivies et
appliquées par l'ensemble du personnel. La direction
générale doit communiquer ses exigences concernant la protection
de ses systèmes d'information afin que chaque acteur interne ou externe
à l'entreprise, puisse s'y conformer pour le maintien de
l'intégrité, la confidentialité et la disponibilité
des informations. Elle doit également rendre compte au conseil
d'administration, de la bonne fonctionnalité des systèmes de
contrôle et de sécurité des informations. La direction
générale doit apporter son soutien clair et massif à la
démarche de sécurité et favoriser l'implication, la
sensibilisation et la participation de tous les salariés.
| 
