Politiques : paramétrages

Sommaire

Partie 1 : Comment modéliser une politique ?

1. Créer une politique "from scratch"

2. Créer une politique "dérivée"

3. Créer une politique via un import XLS

Partie 2 : Comment affecter un périmètre à une politique ?

1. Depuis "Organisation"

2. Depuis "Politiques"

Partie 3 : Où retrouver ma politique privée ?

1. Depuis le Catalogue

2. Depuis "Politiques"

Partie 4 (Optionnelle): Comment ajouter une classification à une politique ?

 

Partie 1 : Comment modéliser une politique ?

À défaut d'utiliser une politique modélisée par les équipes Tenacy, vous pouvez modéliser vous même une politique.

🔎 De nombreux référentiels sont déjà disponibles dans notre catalogue. Si vous n'êtes pas d'accord avec notre modélisation ou si vous ne trouvez pas un de vos référentiels, contactez nous, notre équipe est peut-être déjà entrain de travailler dessus !

1. Créer une politique "from scratch"

1.1. Ajouter une politique

Cette première étape vise à créer une nouvelle politique dans votre catalogue. 

Pour cela, rendez-vous dans la roue crantée ⚙️> Catalogue puis cliquer sur "ajouter une politique"

Pour ajouter une politique, il est obligatoire de lui donner un nom.

Si nécessaire vous pouvez lui ajouter une échelle de priorité.

💡L'échelle de priorité vous servira à taguer les mesures de votre politique pour n'en affecter qu'un sous ensemble sur vos périmètres ainsi qu'à filtrer les mesures par ordre de priorité ou encore, lors d'une évaluation, à ne soumettre qu'une partie des mesures suivant l'échelle de priorité définie lors du paramétrage de votre campagne.
Cet élément est optionnel - vous pouvez visualiser son utilisation dans l'une des politiques publiques qui le propose:  TISAX-5.1 ou Cadre de Conformité Cybersécurité France (3CF).



Exemples d'échelles de priorité modélisées dans votre catalogue

Vous allez alors pouvoir modifier cette échelle depuis le catalogue, dans l'edit de la politique dont vous voulez manager l'échelle de priorité 

1.2. Créer des groupes de mesures

Une fois votre politique créée, cette dernière apparaitra vide. La première étape sera donc de créer des groupes de mesures qui peuvent être assimilés à des chapitres.

En terme de reporting, il vous sera possible d'obtenir un scoring de conformité pour chaque chapitre.

🔎 La solution ne propose qu'un seul niveau de chapitrage : si vous souhaitez aller plus loin dans le reporting vous devrez utiliser les classifications.

1.3. Créer des mesures

Une fois votre groupe de mesures créé, vous pouvez créer des mesures correspondant au référentiel que vous souhaitez modéliser.

Plusieurs champs sont disponibles : 

Nom : Nom de votre mesure

Identifiant : Id interne, nous vous conseillons de le laisser vide pour une génération automatique.

Fonctions : Les fonctions permettent de répartir les différentes mesures d'une politique de sécurité entre différentes populations. Il est courant d'avoir dans une politique générale des mesures qui concernent les TI, mais aussi RH, le Légal, Communication, etc. Ainsi lors d'une évaluation, l'utilisateur chargé de répondre ne verra que celles correspondantes à sa fonction ainsi que les mesures n'ayant eu aucune fonction attribuée.

🔎Plus d'informations sur les fonctions dans cet article.

Priorité : Si vous avez choisi une échelle de priorité vous pourrez choisir un niveau correspondant à cette dernière.

🔎 La priorité à deux utilités:

1. filtre : permettre d'afficher certaines mesures suivant le type de priorité sélectionné

2. association : de n'associer qu'une partie des mesures d'une politique à vos périmètres.
Si vous n'avez sélectionné aucune échelle de priorité, une échelle "standard" apparaitra. Par défaut votre mesure aura une priorité de 50. Vous pouvez toujours modifier la valeur, néanmoins cette échelle standard n'aura que la fonction filtre de disponible, il ne vous sera pas possible d'associer des mesures de votre politique à des périmètres par rapport à la valeur cette échelle.

Description courte : Nous vous conseillons de faire un résumé succinct de la mesure (principaux objectifs)

Description longue : Nous vous conseillons de faire un résumé exhaustif de la mesure. Les descriptions sont notamment présentes lors de l'évaluation, cela permet à l'évaluer de comprendre clairement ce que vous attendez de lui.

Solution : Nous vous conseillons de suggérer des éléments de mise en œuvre.

Références : Libre à vous d'ajouter des informations relatives aux origines de la mesure.

1.4. Optionnel - Ajouter une condition à votre mesure

Une fois votre mesure créée, vous pouvez éditer cette dernière. Un onglet "condition" est disponible.

Les conditions vous permettent de rendre visible certaines mesures suite à un questionnaire préalablement rempli lors d'une évaluation. 

Lien vers l'article concernant le paramétrage d'un questionnaire 

Exemple : 

Outre la priorité qui permet de sélectionner les mesures applicables à un périmètre, il est possible pour chaque mesure de spécifier des conditions d'application. Ces conditions sont liées à des questionnaires et, s'il y en a plusieurs, sont combinées avec un OU : si une condition est vraie alors la mesure est applicable.

Si une ou plusieurs conditions sont sélectionnées, alors la mesure est applicable si au moins une des conditions est vraie, ce qui suppose que le périmètre ait répondu à au moins un questionnaire.

Dans notre exemple, la mesure "Sensibiliser les utilisateurs..." s'appliquera au périmètre ayant répondu "Etats-Unis" à la question "Où stockez vous vos données ?" issue du questionnaire "Questionnaire sécurité dans les projets". 

Ainsi, suivant les réponses données lors d'un questionnaire, certaines mesures seront applicables (et donc accessibles à l'évaluer) suivant ce paramétrage et suivant ses réponses au questionnaire. 

1.5. Modéliser la couverture de vos mesures par des dispositifs

Une fois votre mesure créée et afin de suivre votre conformité, il vous sera nécessaire de venir proposer des dispositifs pour couvrir cette dernière.

🔎 Il s'agit de traduire la mesure de sécurité en moyens opérationnels de mise en conformité. "Que faut-il faire pour répondre à l'exigence ?"

Pour cela cliquer sur le "0" au bout de votre mesure

Automatiquement, la solution vous suggère (NLP) des dispositifs en rapport avec le nom de votre mesure. Vous pouvez tout de même effectuer une recherche manuelle au sein de notre catalogue.

Cliquer sur "associer à la mesure" pour associer le dispositif.

Par défaut, tout dispositif lié a un taux de couverture de 100. Cela signifie que, lorsque le dispositif est en place (opéré) sur le périmètre "100%" de la mesure est couverte. Il vous est possible de rajouter autant de dispositifs que nécessaire.

Lorsque vous ajoutez plus de deux dispositifs, le score total passe donc à 100. Nous vous conseillons vivement d'utiliser le bouton "équilibrer" ou de retoucher manuellement les scores de couverture. Tenacy ne prend pas en compte la "sur-conformité" dans le calcul des scores.

💡Dans certains cas, le score total peut être supérieur à 100, cela signifie que vous avez plusieurs choix possibles. 

Exemple avec ISO 27002 - 2002 :
Pour la mesure 5.1 j'ai le choix entre mettre en place 3 dispositifs ou mettre en place 1 dispositif pour atteindre 100% de couverture.

Il ne vous reste plus qu'à répéter l'opération sur l'ensemble des mesures de votre politique !

Une solution plus rapide peut être mise en place. Tenacy ayant modélisé des dizaines de référentiels (politiques publiques dans la solution) il vous est possible de dériver ces derniers afin de partir d'une base que vous pouvez ajuster.

Lien vers l'article concernant le fonctionnement des dispositifs

2. Créer une politique "dérivée"

Pour cela, utilisez la roue crantée ⚙️> Catalogue puis recherchez la politique publique que vous souhaitez dériver. Passez votre curseur en bout de ligne et cliquez sur "créer une copie"

⚠️ Dériver une politique publique "consomme" une politique. Suivant votre licence Tenacy vous pouvez être limité dans le nombre d'utilisation de politiques publiques.
Contacter le support si nécessaire.

🔎Le champ "Groupement/périmètres" ne visent pas à désigner les groupements ou périmètres sur lesquels s'appliquent la politique mais uniquement à gérer la visibilité et les droits d'accès à votre politique suivant le rattachement des utilisateurs sur un groupement ou un périmètre

Une fois votre politique dérivée, libre à vous de modifier cette dernière comme bon vous semble (modifier les descriptions des mesures, supprimer des mesures ou groupes de mesures, modifier les scores de couvertures, ajouter des dispositifs proposés etc.)

Cela peut notamment vous aider lorsque vous souhaitez rédiger un référentiel privé qui est proche d'un référentiel existant (PSSI reprenant certains chapitre d'ISO 27001 par exemple).

Vous avez donc une bonne base sur laquelle travailler.

3. Créer une politique via un import XLS

Une autre solution synonyme de gain de temps est l'utilisation de la fonctionnalité d'importation XLS.

Il vous faudra préalablement créer une politique privée puis cliquer sur la fonctionnalité d'import.

🔎 Il n'est pas possible d'exporter une politique publique en XLS, il est nécessaire de dériver cette dernière au préalable.

La création des groupes, et mesures peut être faite par Excel.

Pour cela utiliser le modèle d'import téléchargeable depuis "Import XLS"

Il est parfois plus aisé d'exporter une politique existante afin de faire les modifications dans Excel.

⚠️ Attention, la modélisation de votre couverture (lien mesures - dispositifs proposés) ne peut être fait que depuis la solution.

Partie 2 : Comment affecter un périmètre à une politique ?

Vous avez 2 possibilités pour affecter (ou dissocier) un périmètre à une politique.

1. Depuis "Organisation"

Organisation > 🖍️ Modifier périmètre (💡passez votre curseur sur votre périmètre) > Onglet politique > Ajouter une politique.

2. Depuis "Politiques"

Politiques > Associer une politique > Sélection de la politique à associer > Sélection du périmètre ou groupement de périmètres.

Vous pouvez supprimer un périmètre associé en cliquant sur la croix en bout de ligne. 

 

Partie 3 : Où retrouver ma politique privée ?

1. Depuis le "Catalogue"

Roue crantée > Catalogue > onglet "Politiques"

Ici vous trouverez l'ensemble des politiques de votre environnement, les politiques publiques mises à disposition par Tenacy ainsi que celles que vous avez pu créer.
Les politiques privées se retrouvent grâce au marqueur de type "Privé" et sont en tête de liste dans le catalogue par défaut.

2. Depuis "Politiques"

Directement depuis "Politiques" accessible dans le menu de gauche, vous verrez ici toutes les politiques déployées dans votre environnement.
Elles sont triées par ordre alphabétique par défaut.
Vous pouvez avoir toutes vos politiques privées les unes à la suite des autres en cliquant sur la colonne "Type" afin de trier la liste.

 

Partie 4 : Comment ajouter une classification à ma politique privée ?

Dans Tenacy vous pouvez créer des classifications de politique afin d'organiser votre politique avec un autre angle de reporting.

Accéder à la politique où je veux créer une nouvelle classification

⚙️ Roue Crantée > Catalogue > Onglet politique > Cliquer sur votre politique

 

Une fois dans votre politique cliquer sur l'icône avec 3 points :    

Ajouter une classification

Créer vos groupes de mesures 

Ajouter les mesures

Passez votre curseur sur le groupe > Ajouter une mesures 

⚠️ Pour les mesures cliquer sur "Mesures existantes" pour récupérer les mesures de votre classification primaire et leurs associations de dispositif. 

De plus, lors d'une campagne d'évaluation, vous pouvez paramétrer votre campagne par rapport à une certaine classification d'une politique.

Enfin, au sein d'un tableau de bord, il vous est possible de faire du reporting sur une classification particulière de votre politique.

🚨Le score global de conformité d'une politique prend toujours en compte l'ensemble des mesures applicables (en fonction de leur priorité) et est indépendant des classifications.

Pour mettre en place une classification à votre politique, référez vous à cet article.