Sécurité informatique : L’audit des vulnérabilités


L’audit des vulnérabilités

épée de Damoclès

L’épée de Damoclès

Dans le cadre de la sécurité informatique et des mesures à prendre pour pallier aux défauts, pannes, malveillance, etc., il convient de faire le point sur les mesures déjà existantes avant d’envisager d’étendre la protection du système d’information.

La vulnérabilité

La vulnérabilité est le caractère, qui, par ses insuffisances, ses imperfections, peut donner prise à des attaques (Petit Larousse).

C’est au travers d’un audit des vulnérabilités d’un système d’information, que l’on va évaluer son degré de maturité en termes de protection.

Moins il y a de vulnérabilités et mieux le SI sera protégé

Comme l’informatique et les systèmes d’information évoluent en permanence et à une vitesse toujours de plus en plus croissante, l’audit des vulnérabilités est donc à reconduire régulièrement.
Dans l’idéal, ce sera à chaque changement d’un des composants physiques ou logiciels.

Cependant, dans la réalité et pour tenir compte de l’établissement des budgets dans une organisation, c’est une fois par an que cet audit devrait avoir lieu.

Les domaines de l’audit

Le systématisme est nécessaire pour éviter d’oublier l’un ou l’autre des domaines d’un système d’information dans l’audit des vulnérabilités.

Voici les domaines de cette analyse :

  1. Organisation de la sécurité
  2. Sécurité des sites et des bâtiments
  3. Sécurité des locaux
     
  4. Réseau étendu (intersites)
  5. Réseau local (LAN)
  6. Exploitation des réseaux
     
  7. Sécurité des systèmes et de leur architecture
  8. Production informatique
  9. Sécurité applicative
     
  10. Sécurité des projets et développements applicatifs
  11. Protection de l’environnement de travail
  12. Juridique et réglementaire

Les questions à se poser

Pour analyser ces 12 domaines, il convient de se poser les questions appropriées à chacun d’eux :

  1. Qui s’occupe de la sécurité ? Avec quels moyens et quel mode de fonctionnement ?
  2. Comment les sites et les bâtiments sont-ils surveillés et protégés : gardien de nuit, caméras, etc. ?
  3. Quels systèmes sont en place : alarme, détecteur de présence, anti-incendie, identification des visiteurs, etc. ?
     
  4. Quels moyens ont été déployés pour protéger l’accès à distance des informations : identification, chiffrement, etc. ?
  5. Comment et par quoi le réseau local est-il protégé : parafoudre, pare-feu, armoires de brassage fermées, etc. ?
  6. Quels sont les moyens de pallier aux défauts de l’exploitation du réseau : maintenance des serveurs, enregistrements des mouvements des personnels (arrivants et partants), etc. ?
     
  7. Comment les systèmes et architectures sont-ils protégés : sauvegardes, virtualisation, etc. ?
  8. Par quels moyens la production informatique, c’est-à-dire les données sortantes du système d’information sous forme de papier ou à l’écran, est-elle protégée ?
  9. Comment les applications, progiciels ou logiciels sont-elles sécurisées : autorisations d’accès, archivage des versions, etc. ?
     
  10. De quelles manières sont protégés les projets informatiques, de l’idée à leur réalisation : fuite d’information, erreurs de programmation, paramétrages, etc. ?
  11. Quelles sont les protections de l’environnement de travail en place : démultiplication des prises, fermeture des écrans inutilisés pendant quelques minutes, etc.
  12. Quelles mesures de bons comportements sont-elles en place : déclarations CNIL, charte informatique et d’Internet, etc. ?

Cette liste de questions et les quelques exemples associés montrent l’étendu, non exhaustif, des questionnaires à mettre en place pour déterminer le degré de maturité des mesures de protection contre les vulnérabilités détectées.

Vigilance

Il faut être particulièrement vigilant en matière de sécurité informatique.

Par exemple, pour le point 1, il faut que le responsable de la sécurité informatique soit une personne indépendante de la hiérarchie des informaticiens. Son indépendance vis-à-vis de cette hiérarchie va permettre de surveiller et d’agir contre tout informaticien indélicat, responsable du service inclus.

Pour cela,

  • soit un service séparé doit être défini et rattaché, par exemple, directement au responsable de l’établissement, pour une entreprise importante,
  • soit à un collaborateur d’un autre service qui en sache suffisamment en matière informatique, pour des organisations plus petites.

Philippe Garin, plus de 20 ans de management en entreprise

Pour mieux protéger votre système d’informations, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Lexique informatique
Menace – Vulnérabilité – Risque
Parefeu : Utilité et risques

Liste des risques de sécurité informatique
Plan d’un rapport d’audit en entreprise
RCO, LCC et MTBF expliqués pour les nuls

Autres Informatique, Management, Organisation et Sécurité :

Récapitulatif 15 Informatique
Récapitulatif 15 Management
Récapitulatif 15 Organisation
Récapitulatif 15 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Les 3 types de Management


3 types ou modes de management

management matriciel

management matriciel

Le dictionnaire Petit Larousse nous donne la définition du management suivante :

  • Ensemble des techniques de direction, d’organisation et de gestion de l’entreprise.
  • Ensemble des dirigeants d’une entreprise.

Chaque entreprise ou organisation décide du ou des types de management qu’elle applique pour sa gestion.

Voici quelques définitions et explications pour choisir la structure de son organisation.

Le management vertical ou hiérarchique

Le management est représenté par ceux qui dirigent l’entreprise dans une répartition hiérarchique, où chaque manager encadre des collaborateurs parmi lesquels peuvent se trouver d’autres managers encadrants, etc.

Ce type d’organisation est appelé management vertical, ou simplement management.

C’est l’organisation de base de la gestion de l’entreprise.

Le management horizontal ou transverse

Lorsqu’un projet important pour l’entreprise nécessite des compétences que l’on retrouve parmi des membres du personnel issus de différents services, la direction décide alors de regrouper, pour la durée du projet, ces personnes dans une équipe, souvent appelée équipe de projet.

Exemples de projets :

  • prospection commerciale pour des produits techniques à la demande,
  • création d’un nouvel établissement,
  • informatisation de tout ou partie de l’entreprise,
  • etc.

Pour diriger l’équipe de projet, un responsable est nommé qui sera responsable des actions des membres de l’équipe. Il s’agit uniquement des actions directement liées au projet et seulement pour la durée du projet.

Ce mode de management horizontal conduit un collaborateur d’avoir :

  • un responsable fonctionnel en tant que membre d’une équipe de projet, chargé de donner du travail et à qui le collaborateur rend des comptes
  • un responsable hiérarchique, en tant que membre de la structure de l’entreprise, généralement un chef de service, à qui le collaborateur rendra des comptes sur toutes ses actions hors projet et qui sera chargé de la gestion des congés, etc.

Le management matriciel

Le type de management matriciel est mis en place lorsque les collaborateurs sont appelés à systématiser le management horizontal à l’ensemble de leurs activités, en plus du management vertical classique.

C’est l’ensemble des activités de l’entreprise et l’ensemble des collaborateurs qui se trouve réparti dans les services en tant que management horizontal classique et dans le fonctionnement au quotidien dans un mode de management vertical.

Ainsi, le collaborateur se trouve à faire un rapport d’activités à plusieurs managers :

  • Son manager hiérarchique (type de management horizontal)
  • Son ou ses managers d’activités fonctionnelles ou de projets (type de management vertical)

Coordination et maturité

Le mode de management matriciel et le mode de management horizontal impliquent que les managers et leurs collaborateurs comprennent la logique de fonctionnement à multiples responsables.

  • Le manager doit accepter la responsabilité de collaborateurs dont il n’est pas le responsable hiérarchique.
  • Le collaborateur doit accepter des ordres de la part de plusieurs chefs.

La coordination est donc impérative pour éviter les conflits de disponibilité des collaborateurs et l’avancement des projets et autres activités fonctionnelles. C’est pourquoi, on parle de maturité du système de management.

Coordination et maturité sont sous la responsabilité directe des cadres dirigeants.

Les variantes des 3 types de management

Des variantes existent et les trois types de management peuvent coexister :

  • Certains personnels fonctionnent uniquement en management vertical. Ex : comptables, ouvriers
  • D’autres en mode de management horizontal, lors de projets non récurrents. L’ensemble du personnel est concerné.
  • D’autres encore travaillent uniquement en management matriciel. Ex : commerciaux, techniciens, informaticiens, ouvriers, RH

L’introduction de ces types de management se fait à l’initiative des dirigeants, dans la durée et s’appliquent aux entreprises qui y trouvent un avantage, ponctuel ou permanent.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :


En complément :

Les trois temps d’une structuration interne
10 domaines d’analyse et d’activités stratégiques internes dans une entreprise
Le projet d’entreprise

Caractéristiques typiques de styles d’organisation et de management
Les 4 missions du dirigeant
Piloter, c’est …

Autres Management :

Récapitulatif 12 Management

abonnez_vous_ICI_a_la_Newsletter

%d blogueurs aiment cette page :