Security & Risk
Qu’est-ce l'Architecture de Sécurité d'une entreprise ?
L'Architecture de Sécurité d'Entreprise (Enterprise Security Architecture - ESA) consiste à tenir compte de la direction stratégique et des objectifs business d'une entreprise pour définir des mesures d'atténuation des risques de sécurité et de cybersécurité. Les pratiques d'ESA offrent une méthode complète et rigoureuse pour décrire, modéliser et analyser les états actuel et futur de l'écosystème de sécurité d'une organisation.
Mise en œuvre à travers des projets de changement dans une approche cohérente, systémique et structurée, la stratégie de sécurité produit des résultats concrets, permettant ainsi à l’entreprise d’atteindre ses objectifs tout en protégeant - au bon niveau - ses actifs des nouvelles menaces.
L'Architecture de Sécurité est une partie essentielle de l'évolution rapide de l'économie numérique et est liée à tous les aspects et niveaux d'une entreprise : allant des solutions technologiques et de l’innovation jusqu’à la sensibilisation et la formation du personnel, y compris des cadres dirigeants.
Une Architecture de Sécurité construite correctement à partir d'une stratégie business bien définie permet de garantir la compliance aux exigences réglementaire et d'en assurer l’auditabilité. C’est pour cette raison que les possibles mauvaises utilisations et vulnérabilités des systèmes informatiques doivent être identifiés dès la phase de conception (qu'il s'agisse de logiciels, d'infrastructure, de processus ou d'un programme de transformation).
Approche top-down
Une approche top-down peut être utilisée pour construire une Architecture de Sécurité axée sur l'optimisation de la réduction des risques tout en maximisant la valeur business. Elle est idéalement combinée avec une approche bottom-up, permettant alors la priorisation des projets de sécurité identifiés dans le cadre de l'évaluation de l'écosystème en place.
Une fois que le cadre et les capacités de sécurité ont été développés et que les lacunes ont été identifiées, les priorités peuvent être spécifiées et un plan de mise en œuvre peut être élaboré et exécuté. Il s'agit généralement d'un effort à long terme, en fonction de la taille, du budget et de la maturité de l'organisation. Cela nécessite également une évaluation et un ajustement réguliers étant donné le concept rapidement évolutif de l'économie numérique.
Dans un contexte où la technologie est devenue prépondérante dans les initiatives de transformation et où gouverner la complexité et les changements rapides est un réel défi, le principal objectif de notre service d'Enterprise Architecture Security est de :
- Assurer que la stratégie d’entreprise et la sécurité informatique sont cohérentes et continuellement alignées;
- Permettre une prise de décision informée et basée sur les risques ;
- Établir le contexte (cadres réglementaires, exigences client…) pour la définition des objectifs de sécurité et la sélection des investissements ;
- Offrir un langage commun à l'organisation
- Servir de fondations aux mesures de cybersécurité de l'organisation grâce à une vue holistique reliant les aspects opérationnels (produit, juridique, financiers...) et technologiques.
Qu'est-ce qui influence l'Architecture de Sécurité et détermine son succès ?
Bien qu'il soit souhaitable de standardiser et d'appliquer de bonnes pratiques issues d'autres organisations, chaque entreprise a ses particularités, lesquelles doivent se refléter dans son Architecture de Sécurité : un sujet d’importance dans un certain environnement peut l'être beaucoup moins dans un autre.
Il est donc important d'analyser le contexte dans lequel l’Architecture de Sécurité doit être développée, d'identifier les facteurs environnementaux qui doivent être pris en compte, et de comprendre comment ils influent sur les décisions. Cela permet de déterminer les objectifs à atteindre et les contraintes à prendre en compte.
Une Architecture de Sécurité n'a pas toujours besoin d'être totalement conçue en amont mais peut être développée progressivement au fil du temps, permettant à l'organisation de faire les choix progressivement pour correspondre à ses besoins. Cependant, il est évident que certains facteurs environnementaux (législation, exigences clients…) ont un impact inévitable sur l'architecture de sécurité.
Et bien que la taille d'une organisation influence généralement la maturité de sa pratique d'architecture de sécurité, d'autres facteurs jouent également un rôle majeur.
Pour en savoir plus, lisez notre article "7 sujets clés qui influencent l'Architecture de Sécurité d' une entreprise et déterminent son succès".
Nos derniers articles
-
Green Enterprise Architecture : Ouvrir la voie de la transformation durable
Lire la suite -
Mise en œuvre de la transformation numérique chez Euroclear
Lire la suite -
Nouveau PDG chez INNOCOM
Lire la suite -
Le cycle de développement logiciel chez Telenet
Lire la suite -
Domain-Driven Design at Elia
Lire la suite -
This was Art in the Park 2024
Lire la suite
