APO13Gérer la sécurité

Description

Définir, appliquer et piloter un système de management de la sécurité.

But

Maintenir l’impact et l’occurrence des incidents de sécurité de l’information dans les limites de l’appétit de l’entreprise pour le risque

Objectifs IT principaux

Objectifs IT	Métriques associées
Garantir la conformité et le soutien de l'informatique au respect de la réglementation externe à l'entreprise	Coût des non-conformité informatiques, incluant les compensations amiables, pénalités et pertes en terme d'image Nombre de cas de non-conformité informatique rapportées au conseil d'administration ou ayant occasionné des critiques ou débats publiques Nombre de cas de non-conformité en rapport avec des accords contractuels avec des fournisseurs de services informatiques Couverture des évaluations de conformité
Gérer les risques financiers relatifs à l'informatique	Pourcentage de processus métiers, services informatiques et programmes métiers permis grâce à l'informatique qui sont couverts par l'évaluation des risques Nombre d'incidents significatifs relatifs à l'informatique qui n'étaient pas identifiés dans l'évaluation des risques Pourcentage d'évaluation de risques entreprise qui incluent les risques informatiques Fréquence de mise à jour du recensement des risques Nombre d'interruptions de service métiers dues à un incident informatique
Garantir la transparence sur les coûts, bénéfices et risques informatiques	Pourcentage de Business Cases comportant des coûts informatiques et des gains attendus clairement définis et approuvés Pourcentage de services informatiques pour lesquels les coûts opérationnels et les bénéfices attendus sont clairement définis et approuvés Niveaux de satisfaction des parties prenantes clés sur la transparence, la compréhension et la précision des informations financières informatiques
Garantir la sécurité de l'information, de l'infrastructure et des applications	Nombre d'incidents de sécurité causant des pertes financières, des interruptions de services métiers ou une nuisance publique Nombre de services informatiques pour lesquels les exigences de sécurité ne sont pas satisfaites Délai pour accorder, modifier et retirer des privilèges d’accès compte tenu des niveaux de services convenus Fréquence de l’évaluation de sécurité par rapport aux normes et lignes directrices en vigueur
Garantir la disponibilité des informations utiles aux prises de décision	Niveau de satisfaction des utilisateurs métiers concernant la qualité et la disponibilité des informations de gestion Nombre d'incidents sur les processus métiers causés par la non disponibilité de l'information Ratio et étendue des mauvaises décisions métiers pour lesquelles l'information erronée ou non disponible est un facteur clé

Objectifs du processus

Objectifs du processus	Métriques associées
Un système est en place qui tient compte des besoins de l’entreprise en matière de sécurité de l’information et y répond efficacement.	Nombre de rôles de sécurité clés clairement définis Nombre d’incidents relatifs à la sécurité
Un plan de sécurité a été établi, accepté et communiqué dans toute l’entreprise.	Niveau de satisfaction des parties prenantes par rapport au plan de sécurité dans l’ensemble de l’entreprise Nombre de solutions de sécurité non conformes au plan Nombre de solutions de sécurité non conformes à l’architecture de l’entreprise
Des solutions de sécurité de l’information sont déployées et exploitées uniformément dans toute l’entreprise.	Nombre de services dont l’alignement sur le plan de sécurité est confirmée Nombre d’incidents de sécurité provoqués par le non-respect du plan de sécurité Nombre de solutions conçues dont l’alignement sur le plan de sécurité est confirmé

RACI

	APO13.01	APO13.02	APO13.03
Conseil d'administration
Président Directeur Général	C	C
Directeur Financier
Directeur Opérationnel	C	C
Directeurs Métiers	C	C	C
Propriétaires de Processus Métiers	I	C	R
Comité Stratégie	C	C	C
Comité de Pilotage (programmes/projets)	I	I
Coordinateur Projets (PMO)	I	I	R
gestion de la valeur
Risk Manager (RM)	C	C
Directeur de la Sécurité des SI (DSSI)	A	A	A
Urbanisme	C	C
Comité risque de l'entreprise	C	C
Direction des Ressources Humaines (DRH)
Conformité	C	C	C
Audit	C	C	C
Directeur du SI (DSI)	R	R	R
Responsable Architecture	I	C	R
Responsable développement	I	C	R
Responsable production informatique	I	C	R
Responsable de l'administration informatique	R	R	R
Gestionnaire de service	I	C	R
Gestionnaire de la sécurité de l'information	R	R	R
Gestionnaire de la continuité	C	C	R
Directeur de la propriété	C	C	R

Pratiques, données d'entrée et de sortie, activités

Code	Pratique de gouvernance
APO13.01	Etablir et maintenir un Système de Management de la Sécurité de l'Information (SMSI)
	Etablir et maintenir un SMSI qui offre une approche standardisée, formelle et continue en matière de gestion de la sécurité de l’information et qui permette d’appliquer des processus technologiques et métiers sécuritaires alignés sur les exigences métiers et sur la gestion de la sécurité de l’entreprise.

Entrées		Sorties
Description	Venant de	Description	Vers
Approche de l’entreprise en matière de sécurité	Hors CobIT	Politique relative au SMSI	interne
		Enoncé du périmètre du SMSI	APO01.02 / DSS06.03

	Activités
1	Définir le périmètre et les limites du SMSI en ce qui concerne les caractéristiques de l’entreprise, de l’organisation, de son emplacement, de ses actifs et de sa technologie. Inclure les détails de toutes les exclusions au périmètre ainsi que leur justification.
2	Définir un SMSI conformément à la politique de l’entreprise et aligné sur l’entreprise, l’organisation, son emplacement, ses actifs et sa technologie.
3	Aligner le SMSI sur l’approche globale de l’entreprise en matière de gestion de la sécurité.
4	Obtenir l’autorisation de la direction pour déployer, exploiter ou changer le SMSI.
5	Préparer et maintenir une déclaration d’applicabilité qui décrit la portée du SMSI.
6	Définir et communiquer les rôles et les responsabilités quant à la gestion de la sécurité de l’information.
7	Communiquer l’approche du SMSI.

Code	Pratique de gouvernance
APO13.02	Définir et gérer un plan de traitement des risques liés à la sécurité de l’information
	Maintenir un plan de sécurité de l’information qui décrit comment gérer les risques liés à la sécurité de l’information et comment il doit être aligné sur la stratégie de l’entreprise et sur son architecture. S’assurer que les recommandations de mise en oeuvre des améliorations de la sécurité reposent sur des business cases approuvés et mise en oeuvre en tant que partie intégrante du développement de solutions et de services, puis exploitées comme partie intégrante des opérations

Code

Pratique de gouvernance

APO13.02

Définir et gérer un plan de traitement des risques liés à la sécurité de l’information

Maintenir un plan de sécurité de l’information qui décrit comment gérer les risques liés à la sécurité de l’information et comment il doit être aligné sur la stratégie de l’entreprise et sur son architecture. S’assurer que les recommandations de mise en oeuvre des améliorations de la sécurité reposent sur des business cases approuvés et mise en oeuvre en tant que partie intégrante du développement de solutions et de services, puis exploitées comme partie intégrante des opérations

Entrées		Sorties
Description	Venant de	Description	Vers
Ecarts et changements nécessaires pour atteindre la capacité cible	APO02.04	Plan de gestion des risques de sécurité de l'information	EDM / APO /BAI / DSS / MEA
Descriptions de domaines de référence et définition de l'architecture	APO03.02	Business Case de la sécurité de l'information	APO02.05
Propositions de projets pour réduire les risques	APO12.05

	Activités
1	Elaborer et maintenir un plan de traitement des risques liés à la sécurité de l’information qui soit aligné sur les objectifs stratégiques et sur l’architecture de l’entreprise. Veiller à ce que le plan définisse les pratiques de gestion et les solutions de sécurité appropriées et optimales, de même que les ressources, les responsabilités et les priorités afférentes pour la gestion des risques connus en matière de sécurité de l’information.
2	Maintenir, en tant qu’élément de l’architecture d’entreprise, un inventaire des composants de la solution qui sont en place pour gérer les risques liés à la sécurité.
3	Elaborer des propositions visant à mettre en oeuvre le plan de traitement des risques liés à la sécurité de l’information, appuyées par des business cases adaptés qui incluent la prise en compte du financement et la répartition des rôles et des responsabilités.
4	Apporter une contribution à la conception et au développement de pratiques de gestion et de solutions choisies dans le plan de traitement des risques liés à la sécurité de l’information.
5	Définir comment mesurer l’efficacité des pratiques de gestion sélectionnées et préciser comment ces mesures doivent servir à évaluer l’efficacité pour produire des résultats comparables et reproductibles.
6	Recommander les programmes de formation et de sensibilisation à la sécurité de l’information.
7	Intégrer la planification, la conception, la mise en oeuvre et le pilotage des procédures de sécurité de l’information et des autres contrôles susceptibles d’accroître la rapidité de la prévention, de la détection d’événements de sécurité et de la réponse aux incidents de sécurité.

Code	Pratique de gouvernance
APO13.03	Piloter et revoir le SMSI
	Maintenir et communiquer régulièrement le besoin et les bénéfices de l’amélioration continue de la sécurité de l’information. Recueillir et analyser les données du SMSI et en améliorer l’efficacité. Corriger les non-conformités afin d’éviter qu'elles ne se reproduisent. Promouvoir une culture axée sur la sécurité et l’amélioration continue

Entrées		Sorties
Description	Venant de	Description	Vers
Incidents qualifiés et priorisés et demandes de service	DSS02.02	Rapports d’audit du Système de Management de la sécurité de l'Information (SMSI)	MEA02.01
		Recommandations pour améliorer le SMSI	interne

	Activités
1	Entreprendre l’examen régulièr de l’efficacité du SMSI, incluant le respect des politiques et des objectifs du SMSI, et la révision des pratiques de sécurité. Tenir compte des résultats des audits de sécurité, des incidents, des résultats des mesures d’efficacité, des suggestions et des commentaires de toutes les parties concernées.
2	Effectuer des audits internes du SMSI à intervalles réguliers.
3	Entreprendre, sur une base régulière, une revue par la direction du SMSI pour s’assurer que le champ d’application reste adéquat et que les améliorations du processus du SMSI sont identifiées.
4	Apporter une contribution à l’entretien des plans de sécurité afin de tenir compte de découvertes issues du pilotage et des revues des activités.
5	Consigner les actions et les événements qui pourraient avoir des répercussions sur l’efficacité ou la performance du SMSI.