Notre site utilise des cookies pour rendre votre navigation plus agréable sur le site.

Sécurité de l'information

Service de sécurité spécialisé agréé

Dans notre monde intensivement relié, nous sommes tous conscients de l’importance de la sécurité pour effectuer du bon travail. Avoir ce sentiment n'est pas suffisant, il doit également être mis en pratique. Dans ce domaine, nous pouvons nous montrer satisfaits. Toutes les administrations publiques fournissent déjà des efforts sérieux et soutenus depuis de nombreuses années afin d’améliorer considérablement le niveau de sécurité de leur environnement ICT.

Smals soutient ces efforts par une initiative propre visant à soutenir votre politique en matière de sécurité. Cette initiative est le "Service de sécurité spécialisé agréé".

 

Un arrêté royal impose l’existence de ce service

L’Arrêté royal du 12 août 1993   relatif à l’organisation de la sécurité de l’information dans les institutions de sécurité sociale impose l’existence de ce service agréé. Nos efforts se conjuguent en partant du principe qu'ils sont nécessaires pour garantir le bon fonctionnement des services publics basé sur un échange électronique de données. Le rôle le plus important se situe au sein même des administrations. Nous vous aidons où nous pouvons.

 

Plus qu’un expert sécurité, plus qu’un technicien sécurité: des personnes au service de la sécurité

Les collaborateurs du service sont naturellement experts et techniciens. Mais ils sont également avant tout des personnes au service de la sécurité. Ce qui veut dire que l’expertise et la technique sont entièrement subordonnées à l’objectif à atteindre: comment bien travailler de façon sécurisée ? Dans ce but, nos conseillers en sécurité sont orientés interaction avec les collaborateurs des services opérationnels. Aussi ils n’implémentent pas eux-mêmes mais examinent le système. C’est pourquoi, ce sont surtout des collaborateurs qui sortent de la pratique et qui savent parfaitement bien ce que la gestion ICT implique, de façon à ce que toute exigence impossible soit évitée.

 

Des personnes avec des missions spécifiques

Le service de sécurité spécialisé agréé (SSSA) accomplit les missions suivantes:

  • Pour les institutions qui, de par leur nature, ne peuvent pas désigner leurs propres responsables   sécurité, le SSSA peut mettre un spécialiste à disposition.
  • La distribution d'avis autorisés au Comité sectoriel ou à vous.
  • L’organisation de formations concernant la sécurité de l’information.
  • L’audit de la sécurité de l’information sur demande du Comité sectoriel ou sur votre demande.

 

Ou de façon plus concrète, le SSSA vous aide pour:

  • La définition et la présentation de la stratégie sécurité.

    • La tenue d'entretiens avec les différents responsables de divisions afin d’apprendre à connaître les besoins en matière de sécurité interne.
    • Le suivi des normes ISO.
    • Le développement d’un plan de gestion.
    • La présentation du plan de gestion à la direction.
    • L’adaptation du plan de gestion en fonction des circonstances variables.

 

  • La traduction de la stratégie de sécurité en une approche concrète au niveau de l’entreprise et la coordination de celle-ci (top-down).

    • Rédaction d’une politique de sécurité (Information Security Policy).
    • Description des responsabilités de toutes les divisions et fonctions en matière de sécurité de l’information.
    • Développement et gestion d’une classification des moyens d’entreprise: quels moyens y a-t-il, de quelle importance, comment pouvons-nous les protéger ?
    • Développement de conseils concernant les exigences sécurité du personnel (par ex.: quelles formations peuvent être prévues, …).
    • Développement de directives générales en matière de sécurité physique (par ex.: contrôle d’accès physique) et sécurité de l’environnement (par ex.: sécurité incendie) mais également sécurité d’accès (qui a accès à quels moyens d’entreprise).
    • Stimulation active et suivi de la politique de sécurité opérationnelle auprès des différentes divisions en matière de systèmes qui sont déjà opérationnels et pour le développement et l’entretien de systèmes existants.
    • Stimulation du développement et de l’application d’une politique de continuité de sorte que la continuité des systèmes et processus soit garantie en cas d'incidents importants (par ex.: développement de systèmes de back-up, …).
    • Surveillance de l’observation de la stratégie sécurité par les différentes divisions.

 

  • L’accompagnement de toutes les divisions/fonctions en définissant et en implémentant leurs responsabilités spécifiques en matière de sécurité de l’information et en veillant à l’observation de celles-ci.

    • Entretenir des contacts avec les responsables des différentes divisions concernant la sécurité de l’information.
    • Formuler des propositions afin d’améliorer, d'assurer la sécurité de l’information et en discuter avec les personnes concernées.
    • Donner des conseils en préparation d’audits externes.
    • Suivre l’observation des accords conclus relatifs à la sécurité de l’information dans les diverses divisions.
    • Fournir un audit formel.

 

  • Donner des conseils pratiques et développer des polices pratiques concernant des demandes spécifiques en rapport avec les besoins de sécurité des autres divisions (bottom-up).

    • Rassembler les demandes spécifiques en matière de sécurité de l’information.
    • Développer des solutions pratiques pour les demandes spécifiques en matière de sécurité de l’information.
    • Sur demande, donner des informations concernant les nouveaux systèmes de sécurité: par ex.: intrusion detection system.

 

  • Participer activement aux activités de sécurité au sein de l’institution.

    • Participer activement aux groupes de travail (par ex.: groupe de travail de la sécurité de l’information dans le cadre de la sécurité sociale, Banque Carrefour).
    • Faire des propositions et donner des conseils concernant les sujets abordés lors de ces forums.