Le système de gestion des risques de l’information est un composant essentiel de la stratégie globale de sécurité de l’information (SI) de votre organisation. Il est recommandé de réviser régulièrement ce système et de vérifier l’état des zones associées décrites ci-dessous afin de protéger l’entreprise contre la plupart des menaces en matière de sécurité de l’information.

1. Analyse des risques

Mettez en place un processus régulier d’analyse des risques. Identifiez les actifs d’information, évaluez leur valeur et leur importance. Pour chaque actif, identifiez les menaces et les vulnérabilités actuelles. En fonction de cette analyse, choisissez les axes clés pour améliorer le système de sécurité de l’information.

2. Sécurité réseau

Protégez les réseaux d’entreprise contre les intrusions externes et internes. Surveillez le périmètre réseau. Interdisez l’accès non autorisé et le contenu malveillant. Surveillez le fonctionnement des mécanismes de protection et testez-les régulièrement.

3. Protection contre les logiciels malveillants

Élaborez des politiques et des moyens de protection antivirus applicables à toutes les activités de l’entreprise. Scannez l’ensemble du système d’entreprise à la recherche de logiciels malveillants.

4. Surveillance

Élaborez une stratégie de surveillance et des politiques auxiliaires. Assurez une surveillance continue de tous les systèmes d’information et réseaux. Examinez les journaux pour détecter toute activité suspecte.

5.Gestion des incidents

Allouez des ressources pour répondre aux incidents et en atténuer les conséquences. Élaborez et testez des plans d’intervention en cas d’incidents. Formez une équipe de gestion des incidents. Signalez les crimes aux autorités judiciaires.

 

6. Gestion des privilèges

Mettez en place des processus de gestion des comptes et réduisez le nombre d’utilisateurs ayant des privilèges élevés. Limitez les privilèges et surveillez l’activité des utilisateurs. Contrôlez l’accès aux journaux d’activité et d’enregistrement des événements.

 

7. Contrôle des supports amovibles

Élaborez une politique pour restreindre l’accès aux supports amovibles. Limitez les types de supports autorisés et les scénarios d’utilisation. Analysez tous les supports amovibles à la recherche de virus avant de les connecter au système d’entreprise.

8. Configuration sécurisée

Éliminez les vulnérabilités et assurez une configuration sécurisée des systèmes informatiques. Tenez un registre des dispositifs et déterminez quelles configurations serviront de référence pour tous les dispositifs informatiques.

9. Télétravail sécurisé

Élaborez une politique de télétravail sécurisé et formez les employés. Utilisez uniquement des versions logicielles sécurisées sur tous les appareils. Protégez les données transmises et stockées.

10. Formation et sensibilisation

Élaborez des politiques d’utilisation acceptable et sécurisée des systèmes d’entreprise. Mettez en place un programme de formation pour le personnel. Maintenez une sensibilisation aux menaces en matière de sécurité de l’information.

En plus de ces étapes, voici quelques autres conseils :

• Créez une structure de gestion efficace et définissez votre niveau de risque maximal acceptable.
• Impliquez la direction dans la gestion des risques d’information.
• Élaborez des politiques auxiliaires pour la gestion des risques d’information.