Comment réagir à une action incorrecte dans un système informatique.
- Security supports the mission of the organization (organiser, prévoir et sensibiliser) : La sécurité des systèmes et réseaux d’information doit être compatible avec les valeurs fondamentales. Elle doit être assurée dans le respect des valeurs reconnues par les sociétés démocratiques, et notamment la liberté d’échanger des pensées et des idées, la libre circulation de l’information, la confidentialité de l’information et des communications, la protection adéquate des informations de caractère personnel, l’ouverture et la transparence.
- Security is an integral element of sound management (éthique) : Les systems et réseaux d’information étant omniprésents chez FGI les employés doivent être conscients du tort qu’elles peuvent causer à autrui par leur action ou leur inaction. Une conduite éthique est donc indispensable et on doit s’efforcer d’élaborer et d’adopter des pratiques exemplaires et de promouvoir des comportements qui tiennent compte des impératifs de sécurité et respectent les intérêts légitimes de l’organisation.
- Security should be cost-effective : le FGI doit adopter une approche globale de la gestion. La gestion doit être fondée sur l’évaluation des risques et être dynamique et globale afin de couvrir tous les niveaux d’activités de l’organisation et tous les aspects de leurs opérations. Pour être rentable, elle doit inclure également, par anticipation, des réponses aux menaces émergentes et couvrir la prévention, la détection et la résolution des incidents, la reprise des systèmes, la maintenance permanente, le contrôle et l’audit. Les politiques, mesures et procédures en matière de sécurité doivent être coordonnées et intégrées pour créer un système cohérent de sécurité.
- Systems owners have security responsibilities outside their own organization : On doit examiner et réévaluer la sécurité des systèmes et réseaux d’information et introduire les modifications appropriées dans leurs politiques, pratiques, mesures et procédures de sécurité. Des vulnérabilités et menaces nouvelles ou évolutives sont constamment découvertes. Les employés doivent continuellement revoir, réévaluer et modifier tous les aspects de la sécurité pour faire face à ces risques évolutifs.
- Security responsibilities and accountability should be made explicit : les parties prenantes doivent être sensibilisées au besoin d’assurer la sécurité des systèmes et réseaux d’information et aux actions qu’elles peuvent entreprendre pour renforcer la sécurité. La sensibilisation aux risques et aux parades disponibles est la première ligne de défense pour assurer la sécurité des systèmes et réseaux d’information. Les systèmes et réseaux d’information peuvent être exposés à des risques tant internes qu’externes. Les employés doivent comprendre que les défaillances de sécurité peuvent gravement porter atteinte aux systèmes et réseaux sous leur contrôle mais aussi, du fait de l’interconnectivité et de l’interdépendance, à ceux d’autrui. Ainsi, ils doivent réfléchir à la configuration de leur système, aux mises à jour disponibles pour ce dernier, `la place qu’il occupe dans les réseaux, aux bonnes pratiques qu’elles peuvent mettre en œuvre pour renforcer la sécurité
- Security requires a comprehensive and integrated approach : les systems, réseaux et politiques doivent être conçu, mis en oeuvre et coordonnés de façon appropriée afin d’optimiser la sécurité. Un axe majeur, mais non exclusif, de cet effort doit être la conception et l’adoption de mesures de protection et solutions appropriées afin de prévenir ou limiter les préjudices possibles liés aux vulnérabilités et menaces identifiées. Les mesures de protection et solution appropriées afin de prévenir ou limiter les préjudices possibles liés aux vulnérabilités et menaces identifiées. Les mesures de protection et solutions doivent être à la fois techniques et être proportionnées à la valeur de l’information dans les systèmes et réseaux d’information de l’organisation. La sécurité doit être un élément fondamental de l’ensemble des produits, services, systèmes et réseaux et faire partie intégrante de la conception et de l’architecture des systèmes. Pour l’utilisateur final, la conception et la mise en œuvre de la sécurité consistent essentiellement à sélectionner et configurer des produits et services pour leurs systèmes.
edjulien20 