A défaut d'utiliser une politique modélisée par les équipes Tenacy, vous pouvez modéliser vous même une politique.
🔎 De nombreux référentiels sont déjà disponibles dans notre catalogue. Si vous n'êtes pas d'accord avec notre modélisation ou si vous ne trouver pas un de vos référentiels, contactez nous, notre équipe est peut-être déjà entrain de travailler dessus !
Sommaire
1. Créer une politique "from scratch"
2. Créer des groupes de mesures
4. Optionnel - Ajouter une condition à votre mesure
5. Modéliser la couverture de vos mesures par des dispositifs
2. Créer une politique "dérivée"
3. Créer une politique via un import XLS
4. Optionnel - Ajouter une classification à ma politique
1. Créer une politique "from scratch"
1. Ajouter une politique
Cette première étape vise à créer une nouvelle politique dans votre catalogue.
Pour cela, rendez-vous dans la roue crantée ⚙️> Catalogue puis cliquer sur "ajouter une politique"
Pour ajouter une politique, il est obligatoire de lui donner un nom.
Si nécessaire vous pouvez lui ajouter une échelle de priorité.
💡L'échelle de priorité vous servira à taguer les mesures de votre politique pour n'en affecter qu'un sous ensemble sur vos périmètres ainsi qu'à filtrer les mesures par ordre de priorité ou encore, lors d'une évaluation, à ne soumettre qu'une partie des mesures suivant l'échelle de priorité définit lors du paramétrage de votre campagne.
Cet élément est optionnel - vous pouvez visualiser son utilisation dans l'une des politiques publiques qui le propose: TISAX-5.1 ou Cadre de Conformité Cybersécurité France (3CF).
Exemples d'échelles de priorité modélisées dans votre catalogue
2. Créer des groupes de mesures
Une fois votre politique créée, cette dernière apparaitra vide. La première étape sera donc de créer des groupes de mesures qui peuvent s'assimiler à des chapitres.
En terme de reporting, il vous sera possible d'obtenir un scoring de conformité pour chaque chapitre.
🔎 La solution ne propose qu'un seul niveau de chapitrage : si vous souhaitez aller plus loin dans le reporting vous devrez utiliser les classifications.
3. Créer des mesures
Une fois votre groupe de mesures créé, vous pouvez créer des mesures correspondant au référentiel que vous souhaitez modéliser.
Plusieurs champs sont disponibles :
Noms : Nom de votre mesure
Identifiant : Id interne, nous vous conseillons de le laisser vide pour une génération automatique.
Fonctions : Les fonctions permettent de répartir les différentes mesures d'une politique de sécurité entre différentes populations. Il est courant d'avoir dans une politique générale des mesures qui concernent les TI, mais aussi RH, le Légal, Communication, etc. Ainsi lors d'une évaluation, l'utilisateur chargé de répondre ne verra que celles correspondantes à sa fonction ainsi que les mesures n'ayant eu aucune fonction attribuée.
Priorité : Si vous avez choisi une échelle de priorité vous pourrez choisir un niveau correspondant à cette dernière.
🔎 La priorité à deux fonctions :
1. fonction filtre : permettre d'afficher certaines mesures suivant le type de priorité sélectionné
2. fonction association : de n'associer qu'une partie des mesures d'une politique à vos périmètres.
Si vous n'avez sélectionné aucune échelle de priorité, une échelle "standard" apparaitra. Par défaut votre mesure aura une priorité de 50. Vous pouvez toujours modifier la valeur, néanmoins cette échelle standard n'aura que la fonction filtre de disponible, il ne vous sera pas possible d'associer des mesures de votre politique à des périmètres par rapport à la valeur cette échelle.
Description courte : Nous vous conseillons de faire un résumé succinct de la mesure (principaux objectifs)
Description longue : Nous vous conseillons de faire un résumé exhaustif de la mesure. Les descriptions sont notamment présentes lors de l'évaluation, cela permet à l'évaluer de comprendre clairement ce que vous attendez de lui.
Solution : Nous vous conseillons de suggérer des éléments de mise en oeuvre.
Références : Libre à vous d'ajouter des informations relatives aux origines de la mesure.
4. Optionnel - Ajouter une condition à votre mesure
Une fois votre mesure créée, vous pouvez éditer cette dernière. Un onglet "condition" est disponible.
Les conditions vous permettent de rendre visible certaines mesures suite à un questionnaire préalablement rempli lors d'une évaluation.
Exemple :
Outre la priorité qui permet de sélectionner les mesures applicables à un périmètre, il est possible pour chaque mesure de spécifier des conditions d'application. Ces conditions sont liées à des questionnaires et, s'il y en a plusieurs, sont combinées avec un OU : si une condition est vraie alors la mesure est applicable.
Si une ou plusieurs conditions sont sélectionnées, alors la mesure est applicable si au moins une des conditions est vraie, ce qui suppose que le périmètre ait répondu à au moins un questionnaire.
Dans notre exemple, la mesure "Sensibiliser les utilisateurs..." s'appliquera au périmètre ayant répondu "Etats-Unis" à la question "Où stockez vous vos données ?" issue du questionnaire "Questionnaire sécurité dans les projets".
Ainsi, suivant les réponses données lors d'un questionnaire, certaines mesures seront applicables (et donc accessibles à l'évaluer) suivant ce paramétrage et suivant ses réponses au questionnaire.
5. Modéliser la couverture de vos mesures par des dispositifs
Une fois votre mesure créée et afin de suivre votre conformité, il vous sera nécessaire de venir proposer des dispositifs pour couvrir cette dernière.
🔎 Il s'agit de traduire la mesure de sécurité en moyen opérationnel de mise en conformité.
"Que faut-il faire pour répondre à l'exigence ?"
Pour cela cliquer sur le "0" au bout de votre mesure
Automatiquement, la solution vous suggère (NLP) des dispositifs en rapport avec le nom de votre mesure. Vous pouvez tout de même effectuer une recherche manuelle au sein de notre catalogue.
Cliquer sur "associer à la mesure" pour associer le dispositif.
Par défaut, tout dispositif lié a un taux de couverture de 100. Cela signifie que, lorsque le dispositif est en place (opéré) sur le périmètre "100%" de la mesure est couverte. Il vous est possible de rajouter autant de dispositifs que nécessaire.
Lorsque vous ajoutez plus de deux dispositifs, le score total passe donc à 100. Nous vous conseillons vivement d'utiliser le bouton "équilibrer" ou de retoucher manuellement les scores de couverture. Tenacy ne prend pas en compte la "sur-conformité" dans le calcul des scores.
💡Dans certains cas, le score total peut être supérieur à 100, cela signifie que vous avez plusieurs choix possibles.
Exemple avec ISO 27002 - 2002 :
Pour la mesure 5.1 j'ai le choix entre mettre en place 3 dispositifs ou mettre en place 1 dispositif pour atteindre 100% de couverture.
Il ne vous reste plus qu'à répéter l'opération sur l'ensemble des mesures de votre politique !
Une solution plus rapide peut être mise en place. Tenacy ayant modélisé des dizaines de référentiels (politiques publiques dans la solution) il vous est possible de dériver ces derniers afin de partir d'une base que vous pouvez ajuster.
2. Créer une politique "dérivée"
Pour cela, utilisez la roue crantée ⚙️> Catalogue puis recherchez la politique publique que vous souhaitez dériver. Passez votre curseur en bout de ligne et cliquez sur "créer une copie"
⚠️ Dériver une politique publique "consomme" une politique. Suivant votre licence Tenacy vous pouvez être limité dans le nombre d'utilisation de politiques publiques.
Contacter le support si nécessaire.
🔎Le champ "Groupement/périmètres" ne visent pas à désigner les groupements ou périmètres sur lesquels s'appliquent la politique mais uniquement à gérer la visibilité et les droits d'accès à votre politique suivant le rattachement des utilisateurs sur un groupement ou un périmètre
Une fois votre politique dérivée, libre à vous de modifier cette dernière comme bon vous semble (modifier les descriptions des mesures, supprimer des mesures ou groupes de mesures, modifier les scores de couvertures, ajouter des dispositifs proposés etc.)
Cela peut notamment vous aider lorsque vous souhaitez rédiger un référentiel privé qui est proche d'un référentiel existant (PSSI reprenant certains chapitre d'ISO 27001 par exemple).
Vous avez donc une bonne base sur laquelle travailler.
3. Créer une politique via un import XLS
Une autre solution synonyme de gain de temps est l'utilisation de la fonctionnalité d'importation XLS.
Il vous faudra préalablement créer une politique privé puis cliquer sur la fonctionnalité d'import.
🔎 Il n'est pas possible d'exporter une politique publique en XLS, il est nécessaire de dériver cette dernière au préalable.
La création des groupes, et mesures peut être faite par Excel.
Pour cela utiliser le modèle d'import téléchargeable depuis "Import XLS"
Il est parfois plus aisé d'exporter une politique existante afin de faire les modifications dans Excel.
⚠️ Attention, la modélisation de votre couverture (lien mesures - dispositifs proposés) ne peut être fait que depuis la solution.
4. Optionnel - Ajouter une classification à ma politique
Il est possible de rassembler les mesures d'une politique en plusieurs ensembles distincts de groupes. La plupart des politiques n'ont qu'une seule classification et cette distinction n'apparaît pas. Vous pouvez néanmoins observer cela sur certains référentiels comme ISO 27002 - 2022.
Ajouter une classification à votre politique peut vous permettre d'ordonner différemment vos mesures, de n'afficher qu'une partie des mesures par rapport à votre classification primaires, etc.
De plus, lors d'une campagne d'évaluation, vous pouvez paramétrer votre campagne par rapport à une certaine classification d'une politique.
Enfin, au sein d'un tableau de bord, il vous est possible de faire du reporting sur une classification particulière de votre politique.
🚨Le score global de conformité d'une politique prend toujours en compte l'ensemble des mesures applicables (en fonction de leur priorité) et est indépendant des classifications.
Pour mettre en place une classification à votre politique, référez vous à cet article.