Pages

jeudi 21 avril 2016

iCode Enterprise Security Architecture Framework

La sécurité du système d’information est conçue afin de protéger les actifs de l’entreprise. Le principal atout au sein d’une entreprise étant son système d’information, si celui-ci est compromis d’une quelconque façon, il y aura une certaine forme d'impact voire des dommages sur les affaires de l’entreprises.

Les avantages offerts par la sécurité du système d'information nécessitent des investissements en temps, efforts et argent. Investir dans la sécurité peut souvent être difficile à justifier face à d'autres investissements. Mais la vraie valeur d’un actif n’est parfois comprise et appréciée que si une fois un incident ait lieu.

La proposition de valeur de la sécurité du système d'information doit prendre en compte et soutenir la stratégie de l'entreprise.

Les processus de sécurité sont la base sur laquelle la sécurité du système d'information repose pour son efficacité et la réactivité aux incidents. Les processus de sécurité doivent être définis, être ratifié par les structures de gouvernance pertinentes et être continuellement mûris.

L'acquisition de technologies de sécurité doit être considérée comme un moyen de soutenir et d'automatiser les processus de sécurité définis. Bien qu'un certain nombre de technologies aient besoin d’être mis en œuvre immédiatement, beaucoup de technologies plus sophistiquées doivent être acquise une fois que tous les autres aspects organisationnels aient été abordés de manière adéquate (par exemple l'organisation, les personnes, les processus et la stratégie d'entreprise).

La sécurité du système d'information ne peut être entreprise comme un rôle à temps partiel au sein de l'organisation. La gestion efficace de la sécurité de l'information exige souvent des changements à la structure organisationnelle ainsi que la création des rôles et des postes de travail. Cette structure organisationnelle doit refléter le contexte de l’entreprise et doit également inclure un niveau de séparation des fonctions permettant de fournir les garanties, freins et contrepoids nécessaires.

Consciente de tout cela, iCode a développé un cadre innovant appelé « iCode Enterprise Security Architecture Framework » (ESAF) afin d’aider ses clients à bien protéger leurs actifs et pour qu’ils ne soient pas vulnérables aux diverses menaces tout en maîtrisant leurs coûts.
iCode ESAF aide les clients à prévenir contre les éventuels dommages aux actifs en construisant des contrôles de sécurité en blocs, une protection multicouche contre les menaces perçues, une organisation efficace et une stratégie détaillée et rentable de mise en œuvre.

iCode ESAF comprend tous les types de contrôles :
  •  organisationnels : incluant modèles d’organisation, politique, processus, rôles et responsabilités, procédures, programmes d’éducation, KGO, KPI, etc.
  • Informationnels : incluant Modélisations des menaces, Classifications, SLA, etc.
  •  et techniques : Classifications, Modélisations des menaces, Modélisation de la confiance, standards techniques, services et technologies de sécurité, architecture des contrôles techniques, profils de sécurité, etc.
Nous développons une architecture de sécurité efficace et prescriptive. Les normes jouent un rôle très important dans son développement et sa mise en application.
Il existe trois types de standards:
·      Les standards organisationnels auxquels les processus métiers doivent se conformer,
·      Les standards techniques auxquels les produits et leurs implémentations doivent se conformer,
·      Les standards produits ce sont les offres spécifiques que le client a choisis parmi des produits conformes aux standards techniques.

Dans le processus de développement de l’architecture les standards sont adoptés selon :
·      la Conformité par rapport aux réglementations, politiques et normes en vigueurs,
·      les Relations avec les standards existants au sein du client,
·      et les directions technologiques en général.
  
Les Préférences de standards sont attribuées selon l’ordre suivant :
1.     La préférence la plus élevée est attribuée aux règlementations en vigueurs (de jure). Exemple : loi de commerce électronique, loi de protection des données privées, loi de protection du dossier patient médical, loi anti-terroriste, etc.
2.     La deuxième préférence est attribuée aux normes parrainées par des organismes de normalisation (de jure). Exemple : ISO 27001 27002 27005, PCI-DSS, SAS70, SOX, IEEE, Bale, etc.
3.     La deuxième préférence est attribuée aux normes bénéficiant d'un soutien large au sein du marché (de facto). Exemple : COBIT5, SABSA, OWASP, CSA, NIST, TM Forum, etc.
4.     La dernière préférence étant attribuée aux standards propriétaires. Exemple : Cryptage Propriétaire.

Nous développons aussi un guide rentable et détaillée pour la mise en œuvre de l’organisation, l'acquisition, le déploiement et l'exploitation d’éventuelles technologies et services de sécurité dans le but de traiter rapidement les vulnérabilités les plus flagrantes d'abord, puis de passer en phases prioritaires d'amélioration continue.

Aucun commentaire:

Enregistrer un commentaire