![\"\"](\"https:\/\/www.m-q.ch\/wp-content\/uploads\/2021\/02\/Kritische-Erfolgsfaktoren-fuer-InformationssicherheitsProgramme.jpg\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
\u00dc<\/strong><\/em>u cours des deux ou trois derni\u00e8res ann\u00e9es, l'augmentation rapide des cybermenaces a mis en alerte des fonctions commerciales, des secteurs \u00e9conomiques et m\u00eame des pays entiers :<\/p>\n La demande en retard est reconnue<\/strong><\/p>\n <\/p>\n Les organisations qui ont \u00e9t\u00e9 sensibilis\u00e9es \u00e0 la cybermenace reconnaissent souvent qu'elles ont un retard important \u00e0 rattraper et que des mesures correctives s\u00e9lectives ne suffisent pas \u00e0 compenser les \u00e9checs pass\u00e9s. Dans ces cas, des programmes de s\u00e9curit\u00e9 de l'information \u00e9labor\u00e9s sont donc lanc\u00e9s, qui visent \u00e0 \u00e9liminer les failles de s\u00e9curit\u00e9 de mani\u00e8re durable et sur un large front avec un portefeuille de projets sur une p\u00e9riode de plusieurs ann\u00e9es. Bien que de tels programmes soient souvent la bonne \u00e9tape, leur succ\u00e8s d\u00e9pend fortement de l'exp\u00e9rience de la direction du programme qui les g\u00e8re.<\/p>\n Les conditions du succ\u00e8s<\/strong><\/p>\n <\/p>\n Cet article ne peut pas remplacer les m\u00e9thodes de gestion \u00e9tablies telles que PRINCE2, MSP (Managing Successful Programs), MoP (Management of Portfolios) ou les normes PMI, mais vise uniquement \u00e0 les compl\u00e9ter en ce qui concerne les particularit\u00e9s des programmes de s\u00e9curit\u00e9 de l'information. Pour ces programmes, l'exp\u00e9rience montre que, outre l'utilisation efficace des m\u00e9thodes de gestion \u00e9tablies, cinq caract\u00e9ristiques de la gestion des programmes en particulier sont essentielles \u00e0 leur succ\u00e8s :<\/p>\n <\/p>\n Ces comp\u00e9tences en mati\u00e8re de leadership sont essentielles car la \"s\u00e9curit\u00e9 de l'information\" et le \"risque\" touchent des parties prenantes tr\u00e8s larges, mais en m\u00eame temps les concepts sont assez abstraits et \"intangibles\" pour beaucoup de gens. L'\u00e9quipe de direction d'un programme de s\u00e9curit\u00e9 doit donc avoir des connaissances technologiques et poss\u00e9der des comp\u00e9tences en gestion et en communication pour engager et diriger efficacement toutes les parties prenantes.<\/p>\n Les cinq facteurs de succ\u00e8s<\/strong><\/p>\n <\/p>\n La r\u00e9flexion strat\u00e9gique est importante car les programmes de s\u00e9curit\u00e9 commencent souvent par une prise de conscience g\u00e9n\u00e9rale du probl\u00e8me ou une vision. Cette vision doit \u00eatre traduite en une strat\u00e9gie qui indique clairement quelles sont les vuln\u00e9rabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 et les risques associ\u00e9s, quelle solution est n\u00e9cessaire, quels sont les crit\u00e8res de r\u00e9ussite et quels sont les co\u00fbts pr\u00e9vus. Une telle strat\u00e9gie est une condition pr\u00e9alable \u00e0 l'obtention d'un budget. La strat\u00e9gie doit \u00e9galement \u00eatre mise \u00e0 jour en permanence pour assurer la continuit\u00e9 du programme. La continuit\u00e9 est un d\u00e9fi important, car les programmes de s\u00e9curit\u00e9 s'\u00e9tendent souvent sur plusieurs ann\u00e9es et doivent r\u00e9guli\u00e8rement \u00eatre justifi\u00e9s par rapport aux r\u00e9ductions budg\u00e9taires dans le contexte actuel des co\u00fbts.<\/p>\n <\/p>\n Expertise technique<\/strong> <\/em>Le succ\u00e8s d'un programme de s\u00e9curit\u00e9 ne consiste pas \u00e0 installer des outils ou des technologies individuels. Le succ\u00e8s r\u00e9side plut\u00f4t dans la r\u00e9duction durable des risques de s\u00e9curit\u00e9. Pour ce faire, il faut faire un choix intelligent en fonction du risque entre les technologies alternatives. Les technologies doivent \u00eatre configur\u00e9es correctement et elles doivent \u00eatre int\u00e9gr\u00e9es dans des processus qui garantissent leur efficacit\u00e9 \u00e0 long terme. \u00c9tant donn\u00e9 qu'en pratique, la certitude 100% n'existe pas, la direction du programme doit continuellement \u00e9valuer les alternatives et parvenir \u00e0 des d\u00e9cisions optimales avec les diff\u00e9rentes parties prenantes - en tenant toujours compte de la r\u00e9duction des risques r\u00e9alisable, des risques r\u00e9siduels restants ainsi que des co\u00fbts et du temps n\u00e9cessaires. Cela n\u00e9cessite une expertise technique importante.<\/p>\n <\/p>\n Processus et r\u00e9flexion organisationnelle<\/strong><\/em> sont essentielles car les mesures de s\u00e9curit\u00e9 doivent \u00eatre maintenues en permanence pour r\u00e9duire efficacement les risques. Par exemple, un syst\u00e8me de d\u00e9tection d'intrusion est de peu d'utilit\u00e9 si ses alarmes ne sont pas surveill\u00e9es et si les r\u00e8gles utilis\u00e9es pour d\u00e9tecter les attaques ne sont pas maintenues. La r\u00e9flexion organisationnelle est importante car les technologies de s\u00e9curit\u00e9 sont souvent mises en \u0153uvre \u00e0 l'\u00e9chelle mondiale et une solution efficace doit tenir compte des exigences des diff\u00e9rentes zones g\u00e9ographiques ou divisions, telles que la l\u00e9gislation nationale ou l'autonomie des divisions individuelles ou les incompatibilit\u00e9s avec les syst\u00e8mes \u00e9tablis.<\/p>\n <\/p>\n Une gouvernance forte<\/strong><\/em> et de solides comp\u00e9tences en mati\u00e8re de communication sont n\u00e9cessaires car la s\u00e9curit\u00e9 implique de nombreux acteurs au sein d'une organisation. Il s'agit de divers services informatiques, de responsables de la s\u00e9curit\u00e9 et des risques, de l'audit, des divisions commerciales (dont les donn\u00e9es sont concern\u00e9es et qui peuvent \u00e9galement agir en tant que commanditaires), des enqu\u00eates sur les fraudes, du service juridique et des responsables de la protection des donn\u00e9es. Afin de faire les compromis d\u00e9crits ci-dessus avec ces parties prenantes concernant les technologies, configurations ou connexions de processus alternatives, il faut des structures de gouvernance et une direction de programme efficaces qui puissent pr\u00e9senter les questions techniques de mani\u00e8re compl\u00e8te et compr\u00e9hensible pour orienter les d\u00e9cisions. En l'absence d'une telle gouvernance, les programmes restent vuln\u00e9rables lorsque les diff\u00e9rentes parties prenantes ne sont pas d'accord avec les d\u00e9cisions. Bien que ce probl\u00e8me ne soit pas sp\u00e9cifique aux programmes de s\u00e9curit\u00e9, il y est particuli\u00e8rement prononc\u00e9 en raison de la multiplicit\u00e9 des parties prenantes.<\/p>\n <\/p>\n Int\u00e9grit\u00e9 absolue<\/strong><\/em> est une exigence obligatoire pour la direction des programmes, car ils peuvent influencer un grand nombre de d\u00e9cisions gr\u00e2ce \u00e0 leur travail strat\u00e9gique, leur expertise technique et leur communication avec diverses parties prenantes. La direction du programme doit donc \u00eatre apolitique et toujours viser \u00e0 faire ce qui est dans le meilleur int\u00e9r\u00eat de l'organisation.<\/p>\n Conclusion : utilisation de m\u00e9thodes de gestion \u00e9prouv\u00e9es<\/strong><\/p>\n <\/p>\n Les programmes de s\u00e9curit\u00e9 de l'information sont de plus en plus souvent lanc\u00e9s pour suivre l'escalade des cybermenaces. Comme pour tous les programmes, il est important d'utiliser des m\u00e9thodes de gestion \u00e9prouv\u00e9es telles que PRINCE2, MSP ou MoP. Les programmes de s\u00e9curit\u00e9 sont toutefois uniques \u00e0 certains \u00e9gards, dans la mesure o\u00f9 la \"s\u00e9curit\u00e9 de l'information\" et le \"risque\" touchent presque tout le monde dans une organisation, tout en \u00e9tant abstraits et insaisissables. Cela repr\u00e9sente un d\u00e9fi particulier pour les gestionnaires de programmes, notamment en ce qui concerne les cinq facteurs de succ\u00e8s mentionn\u00e9s ci-dessus.<\/p>","protected":false},"excerpt":{"rendered":" \u00dcber die vergangenen zwei bis drei Jahre haben die rasant zunehmenden Cyberbedrohungen ganze Unternehmensfunktionen, Wirtschaftssektoren und sogar L\u00e4nder in Alarmbereitschaft versetzt: Vor vier Jahren sprach kaum ein CFO\/Finanzchef von Cyberrisiken; heute werden sie von CFOs\/ Finanzchefs regelm\u00e4ssig als eine der beunruhigendsten Bedrohungen genannt1 . Vor zwei Jahren war Cybersecurity nicht einmal eine […]<\/p>\n","protected":false},"author":66,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[4800],"class_list":["post-12493","post","type-post","status-publish","format-standard","hentry","category-risikomanagement","tag-11-2014"],"acf":[],"yoast_head":"\n\n
\n