search

Ressources

La posture de cybersécurité est le résultat des décisions stratégiques qui sont prises, puis implémentées au sein de l'organisation.

La formalisation de ces décisions et de leur implémentation est nécessaire pour qu'elles deviennent réalité et soient connues, partagées et appliquées par toutes les parties prenantes.

Dans Qontrol, la manière de stocker et de rendre disponibles ces éléments concrets est le concept de Ressource.

hashtag
Définition d'une ressource

Une ressource est une unité d'action pour la stratégie cyber de l'organisation. Elle décrit comment est traité un sujet opérationnel, à la fois dans ses paramètres stratégiques et implémentatoires.

La ressource contient :

  • Sa description qui peut décrire quels sujets visent à être traités, et de quelle manière

  • Tous les documents ou contenus qui permettent d'en préciser la définition et le corps

  • Des attributs opérationnels comme son statut de validation, son responsable ou encore son cycle récurrent de validation

circle-info

La notion de propriétaire est utilisée à seule fin de permettre une bonne lisibilité des rôles et des tâches attendues de chacun au sein de l'organisation. Cela n'a pas d'impact sur les droits d'édition ou de validation de la ressource elle-même.

hashtag
Catégorie

Une ressource a une catégorie parmi les cinq proposées :

  • Politique : Classiquement en cybersécurité, ce sont tous les documents et supports qui formalisent les choix stratégiques faits, les règles mises en place, leur exécution et leur suivi. Qu'elles soient générales ou spécifiques à des sujets précis, elles régissent le fonctionnement de toutes les opérations - y compris le fonctionnement du SMSI lui-même.

    • Exemples : PSSI, politique de gestion des accès.

  • Processus : On définit ici un processus en particulier. Cela peut-être un processus métier, un processus technique ou encore un processus opérationnel

    • Exemples : processus pour réaliser un virement financier, processus de revue d'accès régulière, processus de réponse à incident.

  • Outil : On documente ici des outils utilisés pour assurer une ou plusieurs fonctions de sécurisation au sein de l'organisation.

    • Exemple : Firewall, avec sa configuration.

  • Services : On documente ici les services externes achetés pour assurer une ou plusieurs fonctions de sécurisation au sein de l'organisation.

    • Exemples : Pentest annuel, avec son rapport. Infogérance, avec son contrat.

  • Documentation : Catégorie générique permettant de stocker des documentations n'ayant pas un rôle aussi précis que ci-dessus, mais utile au renseignement des informations pertinentes du SMSI.

    • Exemple : Notes de réunion, comptes-rendus, organigramme de l'organisation.

hashtag
Statut

La ressource a un statut permettant d'indiquer si elle est :

  • Brouillon : en cours de stabilisation

  • A valider : une proposition de version définitive est disponible, et doit être validée pour devenir la version en vigueur.

  • En vigueur : la définition du corps de la ressource est défini et fixé jusqu'à nouvel ordre.

Quelque soit le statut de la ressource, elle peut être reliée à tous les objets pertinents de la plateforme (conformité, risques). Ainsi, on peut relier une ressource à ses thèmes et exigences, même si elle est en brouillon pour le moment. Cela permet de renseigner l'architecture de sécurité, et de traiter l'opérationnel (réalisation) dans un temps différent.

hashtag
Cycle de validation

Le passage d'une ressource en vigueur est une décision importante pour le SMSI : son contenu devient théoriquement appliqué (selon sa catégorie).

Cette opération est réalisée manuellement en éditant simplement le statut de la ressource.

C'est un événement qui peut être unique (une fois pour toutes) ou récurrent (revues et validations régulières).

La plateforme gère nativement le cycle de validation de chaque ressource afin de simplifier drastiquement toutes le suivi administratif de ces ressources.

Le premier mode de fonctionnement est que la ressource soit en validation unique une fois pour toute : pas de cycle récurrent de validation. Alors l'état de la ressource est géré manuellement par l'interface.

Le deuxième mode est l'activation du cycle de validation récurrent :

La plateforme passe automatiquement la ressource au statut "A valider" lorsque sa période de validité expire. C'est alors au propriétaire (ou un autre utilisateur) de la ressource de la placer à "En vigueur" après édition le cas échéant.

Quelques temps avant l'expiration de la validation, la plateforme rappelle au propriétaire qu'une revue est à prévoir.

La définition du cycle de validation est simplement la définition de la durée du cycle de validité :

  • La fréquence de validation exigée : de 2 ans à 1 semaine. A l'issue de ce délai, la ressource passe automatiquement au statut "à valider" et nécessite une nouvelle intervention pour être "En vigueur"

  • Le mode de calcul de la période :

    • Basée sur la dernière validation : Si la ressource est validée le jour J, alors le cycle de validité s'étend jusqu'à "J + Fréquence".

    • Basée sur une date fixe : Quelque soit la validation de la ressource, le cycle de validité s'étend jusqu'au prochain anniversaire de la date fixe (selon la fréquence choisie).

L'interface indique les informations pertinentes pour comprendre le cycle de validité de la ressource ainsi que les dernières notes de validation lorsqu'elles ont été entrées :

hashtag
Contenu d'une ressource

hashtag
Fichiers et fragments

Une ressource peut accueillir :

  • Des fichiers uploadés de tout type

  • Des textes rédigés dans la plateforme

  • Des liens (typiquement vers des ressources type Sharepoint, Intranet, Wiki, etc.)

Le nombre de contenus d'une ressource n'est pas limité, permettant de décrire son contenu de manière arbitrairement précise.

hashtag
Archivage

Les fichiers et fragments d'une ressource peuvent être actifs, ou archivés. Les éléments archivés permettent de donner une vue de l'historique de la ressource mais n'est plus considéré comme valable ou applicable dans l'organisation.

circle-info

Pour supprimer un fichier ou fragment, il faut d'abord l'archiver, puis il devient possible de le supprimer. C'est une protection contre des suppressions involontaires et définitives.

hashtag
Suppression d'une ressource

La suppression d'une ressource entraine la suppression irrévocable des fichiers et fragments (archivés ou non) qui la composaient.

hashtag
Lien avec la conformité

Un des intérêts capitaux des ressources est de faire le lien entre la production de la documentation de sécurité et la posture de conformité de l'organisation.

Il est ainsi possibile de relier une ressource à une ou plusieurs exigences de conformité. On justifie ainsi les raisons du score de conformité donné à cette ou ces exigences : la ressource doit contenir les justifications de la conformité totale ou partielle à l'exigence.

  • Exemple :

    • "la PSSI doit être revue annuellement par la direction" + "la PSSI doit exister" sont deux exigences qui peuvent être reliées à la ressource "PSSI" qui aurait un cycle de validation récurrent annuel.

    • La première exigence peut aussi être reliée au process "Revue de la PSSI par la direction" s'il existe

    • Ou bien, le choix peut aussi être fait de mettre ce process comme document dans la ressource "PSSI", auquel cas une seule ressource suffit. Ce genre d'arbitrage est libre à l'appréciation de l'utilisateur.

Le lien entre ressource et test de conformité peut être réalisé depuis l'écran ressource, dans l'onglet conformité :

Il peut aussi être réalisé depuis le test de conformité lui-même, dans sa section "Ressources liées" où on peut créer une ressource pour l'occasion, ou lier une existante :

PrécédentDocumentation QontrolSuivantProjets

Mis à jour