La sécurité dans les projets, ou security by design, est un sujet vaste, qui rassemble bien davantage que la simple inclusion d’exigences de sécurité au fil de la construction d’un projet.
Les enjeux pour une organisation sont notamment :
- la nécessaire connaissance de son métier, de ses enjeux et de son SI afin de savoir ce qu’il est primordial de protéger
- l’évaluation des risques de cybersécurité au niveau macroscopique afin de savoir ce qu’il est prioritaire de maîtriser, cela comprend bien sûr la conformité réglementaire,
- la couverture des projets et des architectures mais aussi des changements qui y surviennent, afin de déployer la politique de sécurité à tous les niveaux
- l’analyse des risques de cybersécurité micro inhérents à ces changements et proposer des mesures de sécurité de bon niveau et atteignables qui puisse couvrir ces risques.
Le périmètre de déploiement d’une démarche de sécurité dans les projets varie d’une organisation à l’autre, recouvre des métiers forts différents (industrie, finances, retail, etc.) et s’applique aussi bien à l’organisation elle-même qu’à son écosystème (partenaires, fournisseurs, etc.) : le sujet exige donc une grande adaptabilité de méthode et de moyens.
Ce sont quelques points que nous aborderons lors de la conférence, notamment grâce à l’intervention de Mathieu Pochwalski, RSSI Groupe d’Elis, qui expliquera comment il a initié et déployé une démarche de security by design, et grâce à Lois Samain, RSSI d’EDF Hydro, qui détaillera la démarche qu’il met en œuvre pour sécuriser le SI industriel.
|