Frameworks de sécurité et standard : lequel choisir ?

L’expert Joe Granneman présente plusieurs frameworks de sécurité et standards, et conseille sur le choix du plus adapté à l’entreprise.

Les défis liés à un programme de sécurité de l’information peuvent sembler insurmontables. Les domaines à traiter sont si nombreux : chiffrement, sécurité applicative, reprise d’activité. A cela s’ajoute la complexité liée à la conformité réglementaire. Comment les RSSI peuvent-ils s’organiser et attribuer des priorités à leurs efforts afin de construire et de maintenir un programme de sécurité de l’information ? C’est là que les frameworks et standards de sécurité peuvent aider.

Qu’est-ce qu’un framework de sécurité ?

Un framework de sécurité est un ensemble de processus documentés qui sont utilisés pour définir les stratégies et les procédures autour de la mise en œuvre et de la gestion continue de contrôles de sécurité de l’information dans l’environnement de l’entreprise. Ces frameworks constituent un plan détaillé suivant lequel on peut construire un programme de sécurité de l’information pour gérer le risque et réduire les vulnérabilités. Les professionnels de la sécurité de l’information peuvent utiliser ces frameworks pour définir les tâches nécessaires à la sécurité de l’information au sein de l’entreprise, et pour leur attribuer des priorités.

Les frameworks sont souvent adaptés pour résoudre des problèmes de sécurité spécifiques. Certains ont été développés pour certaines industries précises ainsi que pour différents objectifs de conformité réglementaire. Ils sont de niveaux de complexité et d’ampleur différents. Toutefois, les recouvrements sont très nombreux dans les concepts généraux de sécurité sur lesquels ils s’appuient. Citons par exemple Cobit ou encore ISO 27002.

L’ensemble ISO 27000 intègre de nombreux standards et pratiques de référence. Par exemple, ISO 27799 se penche sur la sécurité de l’information dans le secteur de la santé. De nouveaux standards sont en cours de préparation pour le Cloud computing, la sécurité du stockage, ou encore la collecte d’éléments de preuve numériques.

Conseils

Le choix d’un framework de sécurité spécifique peut être motivé par de nombreux facteurs, à commencer par le type d’industrie et les impératifs réglementaires. Les entreprises cotées souhaiteront probablement respecter Cobit, avec pour objectif d’être prêtes plus aisément à se conformer à Sarbanes Oxley. La série des ISO 27000 peut s’appliquer à toute industrie, bien que le processus d’implémentation soit long et demande une forte implication. Toutefois, il s’avère particulièrement utile lorsque l’entreprise a besoin d’afficher des capacités de sécurité de l’information certifiées ISO 27000.

Mais tous ces frameworks aideront les professionnels de la sécurité à s’organiser et à gérer un programme de sécurité de l’information. Le seul mauvais choix serait de ne pas choisir…

Pour approfondir sur Réglementations et Souveraineté