Et si on parlait gouvernance !

Habituellement j’aborde des sujets plutôt techniques, mais aujourd’hui j’ai le goût de vous parler de gouvernance et d’aborder celle-ci avec un exemple concret à l’aide de deux questions !

La gestion des risques.

La gestion de risque est une notion très importante dans le domaine de la Cyber sécurité et particulièrement dans le processus de gestion des Cyber incidents. La notion de risque zéro n’existe pas et quelles que soit les mesures déployées par une organisation, il subsistera un risque résiduel pour qu’un Cyber incident se produise et affecte son fonctionnement.
Nous pouvons modéliser cette gestion des risques de la façon suivante:

La modélisation ci-dessus explique en quelque sorte la démarche générale à avoir lorsque nous devons gérer la sécurité de l’information d’une entreprise c-a-d :

  • D’évaluer les risques;
  • De trouver des contres mesures;
  • De mettre en place les protections;
  • De surveiller, d’évaluer et de rajuster nos méthodes dans le temps;
  • Mettre en place une gestion continue des risques;

Maintenant que nous avons vu l’aspect théorique passons à la pratique. Depuis quelques années il n’est pas rare de voir des compagnies acheter d’autres compagnies, fusionner Ect.

Lorsque cela se produit il est obligatoire pour le département informatique de se poser les bonnes questions du genre :

A) Quels contrôles / solutions techniques allez-vous mettre en place pour intégrer de la manière sécuritaire les nouvelles sociétés que votre organisation a acquise ?

Voici comment je vois les contrôles à mettre en place

La modélisation du traitement des risques peut-être représenté de la façon suivante (source Mehari)

Il est maintenant temps de passer à la phase d’intégration de cette nouvelle compagnie.

B) Comment est-il possible de l’intégrer rapidement cette nouvelle compagnie en maximisant nos chances de réussite ?

Comme une image vaut mille mots voici une modélisation des cinq étapes à suivre.

 

Finalement quand l’intégration est finalisée il reste à mettre en place une gestion continue des risques qui peut se modéliser comme ci-dessous

Logiquement si ces processus sont respectés il ne devrait pas y avoir beaucoup de problème.  🙂