Plan directeur de sécurité 

Un plan directeur de sécurité informatique vise à planifier les interventions en matière de sécurité, de façon à s’assurer que tous les éléments inhérents à la protection de l’information soient pris en considération. Ce plan permet d’obtenir une vision claire de la situation, car il détermine les actions à prendre, les priorités de réalisation ainsi que les coûts. C’est un document important permettant de présenter à la haute direction les risques, ainsi que les impacts potentiels de la concrétisation d’une menace sur les activités de l’entreprise. Ce plan définit les correctifs à mettre en place et ce, en fonction des priorités et du degré de risque.

L’élaboration d’un plan directeur de sécurité se base sur les volets de la sécurité de l’information telle que définie par la norme ISO 27001 (17799), soit :

  • la politique de sécurité;
  • l’organisation de la sécurité;
  • la classification;
  • la sécurité des ressources humaines (RH);
  • la sécurité physique;
  • la gestion des opérations et des télécommunications;
  • le contrôle des accès;
  • le développement et la maintenance des systèmes;
  • la continuité des opérations;
  • la conformité à la réglementation.  

Buts visés

La démarche consiste à effectuer une analyse de la situation actuelle qui permet à l’organisation de posséder un bilan complet quant à sa position en termes de sécurité de l’information sur chacun de ces volets.  

Par la suite, une cible, en matière de sécurité de l’information, est définie en se basant sur les activités et la vocation de l’organisation, les meilleures pratiques de sécurité ainsi que les volets de la norme ISO mentionnés plus haut.  

L’identification des écarts permet d’établir la liste des lacunes. L’évaluation des risques et des impacts associés à ces vulnérabilités permet d’identifier les priorités quant aux correctifs à implanter.  

Finalement, le plan d’action, habituellement échelonné sur une période de trois ans, devient un guide des actions à réaliser pour corriger les faiblesses, afin de réduire les risques de l’entreprise et ce, en fonction des priorités établies.