ITIL v4 : La Gestion de la Sécurité de l'Information
Description
La gestion de la sécurité de l'information est classée parmi les 14 pratiques de gestion générale d'ITIL 4. Son but fondamental est de protéger les informations dont l'organisation a besoin pour mener ses activités. Cela inclut la compréhension et la gestion des risques liés à la confidentialité, à l'intégrité et à la disponibilité des données.
Concepts et Termes Clés
La pratique repose sur cinq piliers essentiels pour garantir la protection des données :
Confidentialité: S'assurer que l'information n'est pas mise à disposition ou divulguée à des entités non autorisées.Intégrité: Garantir que l'information n'est modifiée que par du personnel et des activités autorisés.Disponibilité: Veiller à ce que l'information soit accessible et utilisable à la demande par les personnes autorisées.Authentification: S'assurer qu'une personne est bien celle qu'elle prétend être.Non-répudiation: Garantir qu'une partie ne peut pas nier avoir effectué une action ou une transaction.
Équilibre Stratégique et Opérationnel
Pour être efficace, cette pratique doit maintenir un équilibre délicat entre trois types d'interventions :
Prévention: Éviter que des incidents de sécurité ne se produisent.Détection: Identifier rapidement et de manière fiable les incidents qui n'ont pas pu être évités.Correction: Rétablir la situation et récupérer les données après la détection d'un incident.
Il est également crucial de trouver un juste milieu entre la protection de l'organisation et sa capacité à innover. Des contrôles trop restrictifs peuvent nuire à l'agilité ou être contournés par les employés pour faciliter leur travail. La sécurité doit donc être alignée sur l'appétit pour le risque de l'entreprise.
Responsabilités et Facteurs Humains
La sécurité de l'information ne dépend pas uniquement de la technologie, mais massivement du facteur humain :
Gouvernance: La pratique doit être pilotée par les niveaux les plus élevés de l'organisation, basée sur des politiques claires.Comportement: La sécurité dépend de l'attitude des employés. Un personnel bien formé et motivé est un atout majeur pour détecter et prévenir les incidents, tandis qu'un personnel mal formé constitue une vulnérabilité importante.Intégration: Dans les environnements à haute vélocité (comme DevOps), la sécurité est intégrée directement dans le travail quotidien du développement et des opérations.
Processus de Support Nécessaires
Plusieurs processus et procédures sont indispensables pour soutenir cette pratique, notamment :
- La gestion des incidents de sécurité de l'information.
- La gestion des risques et les processus d'audit.
- La gestion des identités et des accès.
- Les tests de pénétration et le balayage des vulnérabilités.
- Le contrôle des changements liés à la sécurité (ex: configuration de pare-feu).
Contribution à la Chaîne de Valeur des Services (SVC)
La gestion de la sécurité de l'information intervient dans toutes les activités de la chaîne de valeur :
Planifier: La sécurité doit être intégrée dans toutes les activités de planification et dans chaque service.Améliorer: S'assurer que les améliorations de services n'introduisent pas de nouvelles vulnérabilités.Engager: Capturer les exigences de sécurité pour les nouveaux services et encourager les bons comportements chez tous les intervenants (fournisseurs, clients).Conception et transition: Concevoir des contrôles efficaces et s'assurer que les services répondent aux critères de garantie de sécurité.Obtenir/construire: Intégrer la sécurité dans tous les composants, qu'ils soient développés en interne ou acquis auprès de tiers.Délivrer et soutenir: La détection et la correction des incidents de sécurité sont des parties intégrantes de l'exploitation quotidienne.