Intégrer la sécurité dans les projets

Avec la dématérialisation des activités clés pour les organisations, les projets numériques représentent des briques essentielles à leur compétitivité et à leur réputation.

Publié le 18 Juillet 2022 Mis à jour le 13 Novembre 2023

Il est donc fondamental d’intégrer la sécurité au plus tôt, avant même l’approche fonctionnelle, et au bon niveau au sein de tout projet numérique, pour une prise en compte plus pragmatique et économique de ces enjeux.

Pour cela, les 6 enjeux majeurs du chef de projet et du Responsable de la sécurité des systèmes d’information sont :

6 enjeux majeurs

La démarche d’homologation, gage de maîtrise du risque numérique.

La démarche d’homologation permet de répondre à ces six enjeux majeurs et est un préalable à l’instauration de la confiance dans les services numériques de l’organisation. Elle doit être adaptée aux enjeux de sécurité du système, au contexte d’emploi, à la nature des données contenues ainsi qu’aux utilisateurs.

Cette démarche doit être menée selon un processus d’amélioration continue pour apporter et maintenir la confiance tout au long du cycle de vie du projet jusqu’au retrait de service.

L’ANSSI recommande la mise en place d’une démarche d’homologation pour tout projet numérique. Pour un certain nombre de systèmes, l’homologation est même rendue obligatoire par la réglementation.

EBIOS Risk Manager, moteur de la démarche.

L’analyse de risque est au cœur du management du risque des projets numériques et des organisations. Associée à une approche par conformité à la réglementation et aux bonnes pratiques, elle permet d’identifier les scénarios de cyberattaque les plus critiques auxquels un système devra faire face. Elle permet de hiérarchiser les mesures de sécurité et de les intégrer dans une stratégie de traitement du risque au regard de la menace et des enjeux métiers.

Pour répondre à ce besoin, l’ANSSI a modernisé sa méthode d’analyse de risque et propose avec EBIOS Risk Manager une solution innovante, agile et adaptée aux nouveaux enjeux de sécurité numérique.

L’ancienne méthode EBIOS 2010, aujourd’hui obsolète, adoptait une approche centrée sur le seul système d’information alors que le paradigme actuel nécessite la prise en compte de l’écosystème dans lequel il s’inscrit. EBIOS 2010 ainsi que ses bases de connaissances associées ne sont plus maintenues par l’ANSSI.

La sécurité en mode agile

Parce que les projets en développement agile deviennent une nouvelle norme, l’ANSSI et la DINUM ont élaboré une démarche pratique et concrète d’intégration au plus tôt et en permanence de la sécurité dans la conduite de ces projets.

La cartographie

La cartographie est un outil essentiel à la maîtrise d’un système d’information. Elle est composée de trois visions allant progressivement du métier vers la technique. Cela permet d’avoir connaissance de l’ensemble des composants du SI et d’obtenir une meilleure lisibilité de celui-ci en le présentant sous différentes vues. L’élaboration d’une cartographie du système d’information s’intègre dans une démarche générale de gestion des risques et répond à quatre enjeux de sécurité numérique :

  • Disposer d’une vision commune et partagée du système d’information au sein de l’organisation ;
  • Anticiper les chemins d’attaque possibles sur les systèmes les plus critiques et les plus exposés ;
  • Qualifier plus efficacement les incidents de sécurité et prévoir les conséquences des actions défensives ;
  • Identifier les activités clés de l’organisme et les systèmes d’information associés à maintenir prioritairement dans un plan de continuité d’activité.

Pour aller plus loin

 

Sur le même sujet :
Sécuriser son organisation Administration Publique Entreprise Collectivités locales TPE-PME Administration Novice / Débutant