Comment mener une évaluation de la maturité aux Normes de Sécurité du Système d'Information (NSSI) ?
Dans le cadre d'un programme de transformation d'un SI, Confluence Conseil a mené une évaluation de maturité du nouveau SI sur les Normes de Sécurité (NSSI) découvrez la méthodologie appliquée dans ce retour d'expérience.
Sommaire :
- Définition du NSSI
- Contexte
- Objectifs et enjeux
- Stratégie de réalisation
- Cadrage
- Phase pilote
- Bilan et REX de la phase pilote
- Evaluations complémentaires
- Bilan général
Définition : NSSI (Normes de Sécurité du Système d'information) :
Le terme NSSI (Norme de Sécurité des Systèmes d'Information) fait généralement référence à un ensemble de règles, de directives et de bonnes pratiques visant à garantir la sécurité des systèmes d'information au sein d'une organisation.
Une NSSI est donc un cadre structuré qui décrit les exigences, les procédures et les contrôles à mettre en place pour protéger les ressources informationnelles d'une entité (entreprise, administration, etc.). Elle vise à assurer la confidentialité, l'intégrité et la disponibilité des données et des systèmes.
Bien que le terme "NSSI" soit générique et puisse faire référence à des normes internes spécifiques à une organisation, il est souvent utilisé en France pour désigner les politiques et directives de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), qui émet des référentiels et des guides pour la sécurité numérique. Ces référentiels s'appuient sur des standards internationaux reconnus, comme ceux de l'ISO 27001, mais sont adaptés au contexte français et aux exigences des autorités publiques notamment.
En résumé, une NSSI est un document stratégique et opérationnel qui définit la politique de sécurité d'une organisation, en couvrant des aspects techniques (sécurité des réseaux, des applications, des postes de travail) et organisationnels (gestion des accès, gestion des incidents, sensibilisation des utilisateurs, etc.). Elle est indispensable pour identifier, évaluer et maîtriser les risques liés à la cybersécurité.
Contexte
Une filiale d'un grand groupe bancaire menant un projet de transformation de son Système d'Information (SI), a mandaté Confluence Conseil pour réaliser des évaluations de maturité du futur SI avant sa Mise En Production . L'ensemble fut conduit sous délai contraint et une faible disponibilité des ressources.
Objectifs et enjeux
Proposer la méthodologie et conduire les évaluations permettant de construire aussi bien la cartographie de maturité NSSI des différents actifs que les plans d'action de remédiation afférents.
Projet stratégique et critique pour le client, avec un groupe projet constitué de membres de la direction.
Stratégie de réalisation :
Cadrage
- Identification des enjeux clients
- Antériorité NSSI et évolutions à venir
- Cartographie des actifs
- Proposition de phase pilote via la sélection d'actifs critiques (x5)
Evaluation phase pilote
- Construction du processus d'évaluation depuis les inputs du Groupe
- Réalisation ateliers d'évaluations auprès des référents techniques
- Consolidation des évaluations par actif
- Ajustements groupe projet
Bilan & REX phase pilote
- Arbitrages groupe projet
- Go de construction des Plan d'Actions de remédiation pour les actifs pilotes
- Go pour les évaluations complémentaires (solde des actifs)
Evaluations complémentaires
- Construction du processus d'évaluation complémentaires depuis les inputs de la phase pilote
- Organisation et réalisation des ateliers d'évaluations et de constructions des PA de remédiation (des 2 phases) avec les référents techniques
- Consolidation des évaluations et PA de remédiation
- Suivi d'avancement
Bilan général
- Cartographie de maturité de l'ensemble des actifs MEP 1
- Bilan d'avancement des plan d'action de remédiation engagés pour chacun des actifs
Confluence Conseil réalise des audits sur différents sujets autour des systèmes d'informations, découvrez d'autres audits ici :
- Audit d'accessibilité (RGAA) : [Article à lire ici]
- Audit organisationnel d'une DSI : [Article à lire ici]
- Audit préalable à la mise en place d'une GED : [Article à lire ici]
