La stratégie d’homologation définie, il faut passer au cœur du sujet, la définition des objectifs de sécurité. Pour cela une connaissance fine de l’entreprise est nécessaire.
La première pierre à poser est l’analyse de risque. Celle-ci peut s’appuyer sur une analyse passée qu’il faut réactualiser ou la construire. Dans ce second cas il existe plusieurs solutions, l’utilisation de l’ISO27005 ou de la méthode Ebios2010. Vous pouvez réaliser cette étude vous-même, mais aussi vous faire aider par des prestataires à des degrés divers.
A l’issue vous disposerez d’une cartographie complète de vos risques. N’hésitez pas à y inscrire des risques atypiques suivant votre domaine d’activité, en particulier ceux d’ingérence économique, d’espionnage de sabotage, plus vous aurez une connaissance fine des métiers de votre entreprise plus votre cartographie sera précise.
A noter que tous les secteurs d’activité ne sont pas égaux devant certaines menaces et la menace étatique en particulier. Les cas précités sont souvent l’apanage des états dans leur réalisation mais dont le bénéficiaire est très souvent une société concurrente. Alstom (ici) par exemple ou encore Nortel (ici et là) sont quelques cas connus, avec pour ce dernier la pose de micros dans les locaux du campus.
Pour mieux la connaitre il suffit de réaliser une analyse géostratégique qui vous permettra de connaitre au mieux les « besoins » des différents intervenants. Pour la chine par exemple c’est ici pour le 13ieme plan quinquennal.
Les cas de sabotage sont plus rares, mais si c’est réalisé subtilement, cela peut faire augmenter les couts de revient des produits fabriqués avec une casse artificielle…
Pour aller plus loin il sera nécessaire d’exprimer le besoin de sécurité, ceci au travers de fiches d’expression rationnels des objectifs de sécurités (FEROS), permettant de formaliser au mieux vos besoins en termes de sécurité par rapport aux risques identifiés. Ces fiches vous permettront ensuite de mieux contrôler la réalisation de vos objectifs.
Il faudra ajuster au mieux le curseur entre le besoin de sécurité, le cout engendré et enfin la nécessaire adhésion des utilisateurs.
Cette étape réalisé il sera temps de passer à la suite pour évaluer la couverture aux risques mais cela est une autre histoire.