Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

De la PGSSI à la réalité du terrain

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur De la PGSSI à la réalité du terrain

Pour cette dernière phase, le RSSI a défini trois familles d’interlocuteurs : l’exploitation des systèmes (par des infogéreurs), les nouveaux projets (en interne) et bien entendu les directions métiers. Si ces trois axes acceptent de respecter une série de mesures (issues de la boîte à outils commune et donc alignées avec la politique générale), la PGSSI sera alors respectée.

« J’ai commencé par l’exploitation en imposant à tout nouvel infogéreur la conformité à la PGSSI et le droit à l’audit. Ensuite, on s’est servi dans la base des mesures techniques en les appliquant avec les infogéreurs et en discutant de leur implication, jusqu’à ce qu’ils s’y engagent. Et j’ai en retour modifié la base de mesures afin de prendre en compte les observations concrètes de nos infogéreurs« , détaille Marc Dovéro.

Du côté des projets, l’application est plus simple : en tant que collectivité locale le CG13 est soumis au RGS (Référentiel Général de Sécurité), et la conformité à ce dernier doit être immédiate pour tout nouveau projet. La PGSSI référençant le RGS (une obligation réglementaire) son application pouvait être directe.
Quant au choix des mesures techniques à mettre en oeuvre, le RGS étant en définitive une suite de bonnes pratiques de sécurité il n’est pas difficile de puiser dans la boîte à outils pour trouver une mesure concrète capable de couvrir chaque point des exigences du RGS.

Enfin, le RSSI s’est tourné vers les directions métiers. Ces dernières sont en première ligne et leur adhésion est impérative pour que la PGSSI soit respectée au quotidien. La clé, ici, a été le partage de responsabilité entre la DSI et les directions métiers. « Notre PGSSI, qui reflète donc les souhaits de la Direction Générale, indique que le management du SI se fait avec les directions métier, qui sont responsables de la sécurité des informations qu’elles traitent. Nous sommes donc dans une relation de travail en commun : la SSI est là pour les aider à atteindre cet objectif, à traduire les exigences et à trouver les bons compromis« , explique Marc Dovéro. Par ailleurs, pour plus de poids, le RSSI s’est également appuyé sur un schéma directeur allant dans le sens d’une collaboration entre DSI et directions métier.

Le choix des mesures concrètes à « piocher » dans la boîte à outils commune a donc été réalisé en collaboration avec les directions métiers concernées. « J’ai commencé par les Ressources Humaines (car elles sont impliquées via la charte), la Direction Juridique (pour la réglementation), les services généraux (la sécurité physique) et la communication. Nous avons travaillé ensemble afin d’harmoniser leurs méthodes de travail avec les exigences de la PGSSI. Cela a très bien fonctionné et souvent même permis d’adapter, voire de réduire, certaines mesures de sécurité de leur côté« .

Après un tel projet le Conseil Général dispose à la fois d’une vision claire de ses objectifs de sécurité et d’une exécution concrète sur le terrain. Plus précieux encore, celle-ci est pilotée par des directions métiers et des exploitants qui se sont engagés sur une série de mesures conformes à la PGSSI, parce qu’ils les ont jugées adaptées à leur quotidien et en ont compris la nécessité. Ce qui en retour facilite bien entendu grandement le travail de suivi de la SSI.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.