Close
  • Français
  • English

23/10/2013Comment mobiliser un COMEX autour de la SSI ? Préparation de l’atelier animé par Gérard Gaudin, consultant et président de R2GS, et de Franck Bourdeau, consultant

En préparation de l’atelier FIC réservé aux RSSI le 21 janvier prochain sur le thème « Comment mobiliser un COMEX autour de la SSI ? », nous vous proposons de vous préparer par un jeu de questions réflexives.

L’idée est d’y répondre pour vous-mêmes afin de faire un bilan de la situation au sein de votre organisation.

1 – Le COMEX de votre entreprise a-t-il conscience des enjeux SSI ? Si cela devenait le cas, qu’est-ce qui deviendrait alors possible et qui ne l’est pas aujourd’hui ?

Par exemple :

[list style=’check’]
[list_item] Sponsoring des activités SSI par un membre du COMEX avec information périodique au plus haut niveau,[/list_item]

[list_item] Forte impulsion au sein de l’organisation permettant d’espérer une sensibilisation plus efficace et une inflexion réelle des comportements,[/list_item]

[list_item] Image plus positive de la SSI comme un atout (et non une charge) pour l’organisation. [/list_item]
[/list]

2 – Quels sujets pourraient être abordés au sein du COMEX ?

Par exemple :

[list style=’check’]
[list_item] Exposé des principaux risques IT liés aux activités de l’organisation, en particulier les plus méconnus (Cf. par exemple perte de confidentialité et données quantitatives),[/list_item]

[list_item] Intérêt de mobiliser plus les employés sur le thème SSI (Lutte contre les menaces actuelles, participation réelle aux progrès de l’organisation en la matière),[/list_item]

[list_item] Progresser vers une sécurité « Lean » grâce à un système de mesure rigoureux permettant d’optimiser les investissements et les opérations, grâce à de nouveaux comportements des utilisateurs, et grâce à un meilleur alignement sur le business, [/list_item]

[list_item] Saisir l’opportunité de la mobilisation pour renforcer l’agilité et la résistance de l’organisation, [/list_item]

[list_item] Développer des expérimentations de sécurité par BU ou régions autonomes de sécurité en adaptant plus la SSI aux contraintes business. [/list_item]
[/list]

3 – Y-a-t-il des coûts de « mauvaise sécurité » pouvant être repérés pour accompagner l’émergence d’une nouvelle image de la SSI ?

Par exemple :

[list style=’check’]
[list_item] Incidents dus à une procédure de sécurité décidée mais mal ou non appliquée,[/list_item]

[list_item] Processus ou technologies non indispensables qui ralentissent le fonctionnement,[/list_item]

[list_item] Processus ou dispositifs de sécurité contournés car d’usage trop contraignant. [/list_item]
[/list]

4 – Quelles nouvelles approches de sensibilisation seraient envisageables ?

Par exemple :

[list style=’check’]
[list_item] Détection des incidents de sécurité furtifs à travers un système d’alerte et de remontée des incidents impliquant et valorisant les utilisateurs,[/list_item]

[list_item] Séances de formation et sensibilisation mettant l’accent sur des risques quantifiés associés directement aux activités des utilisateurs concernés,[/list_item]

[list_item] Audits techniques périodiques au moyen d’outils puissants permettant de détecter des attaques graves non encore détectées, et de sensibiliser le management, [/list_item]

[list_item] Installation de stations de décontamination pour des dispositifs mobiles personnels, permettant d’infléchir les comportements sur l’hygiène informatique, [/list_item]

[list_item] Indicateurs globaux accessibles à tous les employés permettant de montrer les progrès en matière de SSI, et notamment de comportements. [/list_item]
[/list]

5 – Quels cercles vertueux seraient ainsi enclenchés dans l’esprit « Survival of the fittest » ?

Par exemple :

[list style=’check’]
[list_item] Détection des incidents de sécurité meilleure (mesures fines, benchmark, déclarations encouragées…),[/list_item]

[list_item] Réaction collective optimisée (plus rapide, moins lourde …),[/list_item]

[list_item] Prévention basée sur un système sain et évalué constamment, que l’on a plaisir à entretenir (hygiène informatique de base, entrainement régulier …), [/list_item]

[list_item] Encouragement d’une prise de risques mesurée, en l’expérimentant sur des zones délimitées, [/list_item]

[list_item] Développement de la sensibilisation et mobilisation des connaissances IT de chaque collaborateur, [/list_item]

[list_item] Poursuite de cette chaîne logique avec démonstration croissante de son intérêt. [/list_item]
[/list]

Réservé aux RSSI et experts sécurité en entreprise, l’atelier “Comment mobiliser un COMEX autour de la sécurité de l’information ?” aura lieu le mardi 21 janvier, de 14 à 17h. Il sera animé par Gérard Gaudin et Franck Bourdeau.