Méthodologie - adoption d'une norme en 7 étapes

MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.

Les 7 étapes menant à l’adoption d’une norme.Version 1.1

Méthodologie

Auteur: Marc-André Héroux

INVESTIGATION ET CONTRÔLE DE LA SÉCURITÉ

CONTRÔLES DE CONFORMITÉGouvernance et gestion de risques

MARC-ANDRE HEROUX © 2014 • TOUS DROITS RÉSERVÉS.- 2 -

SOMMAIRE EXÉCUTIF

Dans le but d’atteindre ses objectifs de conformité et mettre en œuvre un système de protection et d’investigation des activités, il est nécessaire pour une organisation d’adopter une méthode afin d’adopter des normes.

Ce document propose une approche permettant la réalisation d’une norme en 7 étapes.

L’approche propose la livraison de versions concluant chacune des étapes.


Les contrôles normatifs

Constats et enjeux

1re PARTIE



IDENTIFICATION DES ACTIFSC’est seulement après avoir identifié les actifs informationnels selon leurs niveaux de risques qu’il est possible de définir une portée, les limitations, les objectifs et plus particulièrement, les normes qui préciseront les exigences de l’organisation. C’est à partir de ces exigences (de niveau tactique et enligne avec les directives stratégiques) que les opérations pourront adopter et mettre en œuvre des contrôles opérationnels de sécurité.

COLLABORATION INTERNE-EXTERNEBien qu’une collaboration étroite entre les différents groupes de l’organisation soit essentielle, la participation des partenaires (ou des opérations) à la réalisation d’une norme est essentielle et doit figurer, à juste titre, comme un élément clé de réussite. Le partenaire (ou le groupe opérationnel) peut souvent fournir des informations essentielles dont il faut tenir compte avant la création d’une norme.

Éléments clés de réussites



Processus normatif détaillé

- 5 -

TactiqueTactique OpérationnelOpérationnel


Mise en oeuvre

La méthode détaillée en 7 étapes

2e PARTIE



Cadre normatif de sécurité1. Identification (selon la priorité établie) des actifs informationnels visés par les objectifs de contrôle

2. Rédaction d’une norme préliminaire (gabarit de base et pratiques standards)

3. Entretien avec les fournisseurs de services (ou les opérations) pour définir l’écart entre les contrôles existants et les contrôles manquants

4. Adaptation de la norme préliminaire afin de tenir compte des contrôles déjà en place et des contrôles exigés; rencontre de groupe (interne, sans le(s) partenaire(s)) afin de statuer sur l’enlignement tactique du comité de direction (steering comitee)

5. Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour rencontrer la norme

6. Présentation à la direction des délais pour la création de la norme (et des efforts suggérés par les fournisseurs de services); acceptation de poursuivre ou négociation de la position de l’organisation auprès du fournisseur (ou du groupe opérationnel) concernant les efforts anticipés (ex.: négociation des coûts $$$).

7. Suite à l’acceptation des délais et efforts, rédaction de la norme et présentation aux groupes stratégique et opérationnel pour révision; approbation de la norme par la direction; communication de la norme aux ressources concernées



Étape 1- Cueillette des intrants visés par les objectifs de contrôle des exigences (Aucun livrable)

Identification des directives, politiques ou objectifs de contrôleIdentification des actifs à protéger et des ressources humaines concernéesIdentification du besoin d’affaires et des responsables de la protection des actifs visés par la norme:

Qui sont les propriétaires et les responsable de l’actif? Qui peu faire quoi, quand, où et comment? Quelles sont les obligations (réglementaires, exigences existantes,

vérification, ententes, etc.) Quels sont les niveaux de privilèges selon le besoin de connaître et

d’utiliser l’actif? Qui est responsable de protéger l’actif, d’appliquer la protection et

d’effectuer le contrôle? Qui doit approuver les actions?

Identification des risques préliminaires associés aux actifs de la portée Analyse de risques

Identification les informations existantes et utiles à l’écriture de la norme (cadre de sécurité ainsi que les documents disponibles)Mise en relation des informations recueillies versus les objectifs de contrôle à rencontrerRecherche d’informations complémentaires



Obtenir une liste préliminaire de l’inventaire visé par la porté de la directive (ou de la politique)Recueillir une première appréciation des contrôles en place pour répondre au sujet donnéObtenir liste de projets qui touche le sujetObtenir la liste des exceptions spécifiques

La participation du partenaire (ou des opérations) est essentielle et permettra d’obtenir des intrants directement à la norme en cours de développement.Bonnes pratiques de gestion

Informer le partenaire (ou les opérations) de la relation participative plutôt que directive qui est envisagée pour assurer la collaboration

Demander aux partenaires (ou aux opérations) de participer en rassemblant de l’information sur le sujet préalablement à la rencontre

Étape 2 – Premier entretien avec les partenaires



Étape 2- Rédaction d’une norme préliminaire (gabarit de base et pratiques standards)

Basé sur les documents existants et utiles à l’écriturede la norme (cadre de sécurité ainsi que les documents disponibles (ex.: analyses de risques), les documents recueillis lors des entrevues, les pratiques de l’industrie (ainsi que sur des sources pertinentes telles que le NIST), une norme préliminaire de travail sera produite.

Cette norme doit présenter les principaux enjeux sans couvrir les détails de bas niveaux (opérationnels). Le but est de faire ressortir les principaux actifs informationnels (entités, ressources, objets, sujets, etc.) à tenir compte dans la norme tel qu’on le fait généralement à l’aide d’un cadre de référence.



Étape 4. Adaptation de la norme de base afin de tenir compte des contrôles déjà en place…

Puisqu’à cette étape, nous possédons plus d’information concernant la norme en cours de réalisation, il est approprié de l’ajuster (en tenant compte des contrôles existants qui couvrent déjà certaines exigences permettant de respecter les directives; bien qu’une exigence soit parfois souhaitable, elle n’est pas nécessairement toujours matérialisable puisqu’il faut tenir compte, entre autres, des besoins d’affaires et fonctionnels)

À cette étape, et il s’avère approprié de consulter un autre professionnel du groupe afin de partager (avis d’un autre expert) sur les tactiques adoptées et celles qui seraient appropriées de tenir compte afin de compléter l’élaboration de la norme en cours

Après cette rencontre, nous devrions être prêt pour l’étape 5, un appel conférence avec le partenaire (ou les opérations) pour identifier les contrôles manquants; à défaut de tenir de longues rencontres face à face, des appels conférences dont l’agenda est connue des différents actants s’avère souvent, plus efficace



Étape 5. Entretien avec les fournisseurs pour déterminer les efforts nécessaires pour respecter la norme

Certaines exigences (ou contrôles tactiques) sont toujours en suspend et sont adressées lors d’une conférence téléphonique avec le fournisseur alors que les points suivants sont traités:

Déterminer les efforts du fournisseur de services (ou des opérations) pour rencontrer les exigences (ou contrôles tactiques) de la norme

Déterminer si des mesures compensatoires existent ou pourraient exister

S’entendre sur la direction à prendre pour chacun des contrôles identifiés afin qu’une démarche soit acceptée des fournisseurs (ou des opérations) et entériné par l’organisation

Émission par le fournisseur (ou des opérations) d’un plan d’action pour répondre aux exigences

Émission d’un compte rendu par l’organisation au fournisseur (ou aux opérations) confirmant les mesures acceptées et celles en suspends



Étape 6. Présentation à la direction des délais (et efforts) pour la création de la norme...

Ayant maintenant en main les efforts suggérés par le fournisseur (ou les opérations) pour se conformer aux exigences (ou contrôles tactiques), l’information est soumise à la haute direction à des fins d’approbation et de révision des délais estimés pour compléter la norme en cours

Si les efforts (et délais) estimés sont approuvés, la norme passe à la prochaine étape pour être complétée conformément aux acceptations des mesures de contrôles entendues avec le fournisseur de service (ou les opérations)

À défaut d’obtenir l’approbation par la haute direction, le groupe tactique pourrait être assigné à s’entretenir de nouveau avec le fournisseur (ou les opérations) afin de négocier les efforts (et délais) estimés et identifier des contrôles compensatoires potentiels



Étape 7. Suite à l’acceptation des délais (et efforts), rédaction de la norme et présentation aux groupes stratégique et opréationnel…

L’organisation a acceptée les mesures de contrôles que les fournisseurs de services (ou les opérations) mettront en place ainsi que les délais (et efforts) liés aux exigences de la norme

Nous pouvons compléter la rédaction de la norme et procéder à la présentation de celle-ci aux groupes stratégique et opérationnel pour révision, approbation et prévision de la de mise en œuvre

Communication (centralisée) de la norme et avis au personnel concerner de leur imputabilité face à la norme

Documents

Méthodologie - adoption d'une norme en 7 étapes