Passer au contenu principal

Modéliser une politique privée

À défaut d'utiliser une politique modélisée par les équipes Tenacy, vous pouvez modéliser vous même une politique.

Mis à jour il y a plus de 4 mois

🔎 De nombreux référentiels sont déjà disponibles dans notre catalogue. Si vous n'êtes pas d'accord avec notre modélisation ou si vous ne trouvez pas un de vos référentiels, contactez nous, notre équipe est peut-être déjà en train de travailler dessus !

1. Créer une politique de zéro

1.1 Ajouter une politique

Cette première étape vise à créer une nouvelle politique dans votre catalogue.

Pour cela, rendez-vous dans la roue crantée ⚙️> "Catalogue" puis cliquer sur "ajouter une politique"

Pour ajouter une politique, il est obligatoire de lui donner un nom.

Si nécessaire, vous pouvez lui ajouter une échelle de priorité.

💡L'échelle de priorité vous servira à taguer les exigences de votre politique pour n'en affecter qu'un sous ensemble sur vos périmètres ainsi qu'à filtrer les exigences par ordre de priorité ou encore, lors d'une évaluation, à ne soumettre qu'une partie des exigences suivant l'échelle de priorité définit lors du paramétrage de votre campagne.
Cet élément est optionnel – vous pouvez visualiser son utilisation dans l'une des politiques publiques qui le propose : TISAX-5.1 ou Cadre de Conformité Cybersécurité France (3CF).

Exemples d'échelles de priorité modélisées dans votre catalogue

1.2 Créer des groupes d'exigences

Une fois votre politique créée, cette dernière apparaitra vide. La première étape sera donc de créer des groupes d'exigences qui peuvent s'assimiler à des chapitres.

En termes de reporting, il vous sera possible d'obtenir un scoring de conformité pour chaque groupe d'exigences.

🔎 La solution ne propose qu'un seul niveau de chapitrage : si vous souhaitez aller plus loin dans le reporting, vous devrez utiliser les classifications.

1.3 Créer des exigences

Une fois votre groupe d'exigences créé, vous pouvez ajouter des exigences correspondant au référentiel que vous souhaitez modéliser en cliquant sur "Ajouter une exigence".

Plusieurs champs sont disponibles :

Noms : Nom de votre exigence

Identifiant : Id interne, génération automatique si vide.

Fonctions : Les fonctions permettent de répartir les différentes exigences d'une politique de sécurité entre différentes populations d'utilisateur. Il est courant d'avoir dans une politique générale des exigences qui concernent les IT, mais aussi RH, le Légal, Communication, etc. Ainsi, lors d'une évaluation, l'utilisateur chargé de répondre ne verra que les exigences correspondantes à sa fonction ainsi que les exigences n'ayant eu aucune fonction attribuée.

Priorité : Si vous avez choisi une échelle de priorité, vous pourrez choisir un niveau correspondant à cette dernière.

🔎 La priorité à deux fonctions :

1. Fonction filtre : permettre d'afficher certaines exigences suivant le type de priorité sélectionné

2. Fonction association : de n'associer qu'une partie des exigences d'une politique à vos périmètres.

Si vous n'avez sélectionné aucune échelle de priorité, une échelle "standard" apparaitra. Par défaut, votre exigence aura une priorité de 50. Vous pouvez toujours modifier la valeur, néanmoins cette échelle standard n'aura que la fonction filtre de disponible, il ne vous sera pas possible d'associer des exigences de votre politique à des périmètres par rapport à la valeur cette échelle.

Description courte : Nous vous conseillons de faire un résumé succinct de l'exigence (principaux objectifs)

Description longue : Nous vous conseillons de faire un résumé exhaustif de l'exigence. Les descriptions sont notamment présentes lors de l'évaluation, cela permet à l'évaluer de comprendre clairement ce que vous attendez de lui.

Solution : Nous vous conseillons de suggérer des éléments de mise en œuvre.

Références : Libre à vous d'ajouter des informations relatives aux origines de l'exigence.

1.4 Optionnel - Ajouter une condition à votre exigence

Une fois votre exigence créée, vous pouvez éditer cette dernière. Un onglet "condition" est disponible.

Les conditions vous permettent de rendre visible certaines exigences suite à un questionnaire préalablement rempli lors d'une évaluation.

Exemple :

Outre la priorité qui permet de sélectionner les exigences applicables à un périmètre, il est possible pour chaque exigence de spécifier des conditions d'application. Ces conditions sont liées à des questionnaires et, s'il y en a plusieurs, sont combinées avec un OU : si une condition est vraie, alors l'exigence est applicable.

Si une ou plusieurs conditions sont sélectionnées, alors l'exigence est applicable si au moins une des conditions est vraie, ce qui suppose que le périmètre ait répondu à au moins un questionnaire.

Dans notre exemple, l'exigence "Sensibiliser les utilisateurs..." s'appliquera au périmètre ayant répondu "États-Unis" à la question "Où stockez-vous vos données ?" issue du questionnaire "Questionnaire sécurité dans les projets".

Ainsi, suivant les réponses données lors d'un questionnaire, certaines exigences seront applicables (et donc accessibles à l'évaluer) suivant ce paramétrage et suivant ses réponses au questionnaire.

1.5 Modéliser la couverture de vos exigences par des mesures de sécurité

Une fois votre exigence créée et afin de suivre votre conformité, il vous sera nécessaire de venir proposer des mesures de sécurité pour couvrir cette dernière.

🔎 Il s'agit de traduire l'exigence de sécurité en moyen opérationnel de mise en conformité.
"Que faut-il faire pour répondre à l'exigence ?"

Pour cela, cliquer sur le "0" au bout de votre exigence.

Automatiquement, la solution vous suggère (par NLP) des mesures de sécurité en rapport avec le nom de votre exigence. Vous pouvez tout de même effectuer une recherche manuelle au sein de notre catalogue.

Cliquer sur "Associer à l'exigence" pour associer la mesure de sécurité.

Par défaut, toute mesure de sécurité lié à un taux de couverture de 100. Cela signifie que, lorsque la mesure de sécurité est en place (implémentée) sur le périmètre, "100%" de l'exigence est couverte. Il vous est possible de rajouter autant de mesures de sécurité que nécessaire.

Lorsque vous ajoutez plus de deux mesures de sécurité, le score total passe donc à 100. Nous vous conseillons vivement d'utiliser le bouton "équilibrer" ou de retoucher manuellement les scores de couverture. Tenacy ne prend pas en compte la "sur-conformité" dans le calcul des scores.

💡Dans certains cas, le score total peut être supérieur à 100, cela signifie que vous avez plusieurs choix possibles.

Exemple avec ISO 27002 - 2002 :
Pour l'exigence 5.1 j'ai le choix entre mettre en place 3 mesures de sécurité ou mettre en place une mesure de sécurité pour atteindre 100% de couverture.

Il ne vous reste plus qu'à répéter l'opération sur l'ensemble des exigences de votre politique !

Une solution plus rapide peut être mise en place. Tenacy ayant modélisé des quarantaines de référentiels (politiques publiques dans la solution) il vous est possible de dériver ces derniers afin de partir d'une base que vous pouvez ajuster.

2. Créer une politique "dérivée"

Pour cela, utilisez la roue crantée ⚙️> "Catalogue" puis recherchez la politique publique que vous souhaitez dériver. Passez votre curseur en bout de ligne et cliquez sur "créer une copie"

⚠️ Dériver une politique publique "consomme" une politique. Suivant votre licence Tenacy, vous pouvez être limité dans le nombre d'utilisations de politiques publiques.
Contacter le support si nécessaire.

🔎Le champ "Groupement/périmètres" ne visent pas à désigner les groupements ou périmètres sur lesquels s'appliquent la politique, mais uniquement à gérer la visibilité et les droits d'accès à votre politique suivant le rattachement des utilisateurs sur un groupement ou un périmètre

Une fois votre politique dérivée, libre à vous de modifier cette dernière comme bon vous semble (modifier les descriptions des exigences, supprimer des exigences ou groupes d'exigences, modifier les scores de couvertures, ajouter des mesures de sécurité proposés, etc.)

Cela peut notamment vous aider lorsque vous souhaitez rédiger un référentiel privé qui est proche d'un référentiel existant (PSSI reprenant certains chapitres d'ISO 27001 par exemple).

Vous avez donc une bonne base sur laquelle travailler.

3. Créer une politique via un import XLS

Une autre solution synonyme de gain de temps est l'utilisation de la fonctionnalité d'importation XLS.

Il vous faudra préalablement créer une politique privée puis cliquer sur la fonctionnalité d'import.

🔎 Il n'est pas possible d'exporter une politique publique en XLS, il est nécessaire de dériver cette dernière au préalable.

La création des groupes et exigences peut être faite par Excel.

Pour cela, utiliser le modèle d'import téléchargeable depuis "Import XLS"

Il est parfois plus aisé d'exporter une politique existante afin de faire les modifications dans Excel.

⚠️ Attention, la modélisation de votre couverture (lien exigences – mesures de sécurité proposées) ne peut être fait que depuis la solution.

Articles connexes
Le catalogue de Tenacy
Paramétrer une campagne d'évaluation
Répondre à une évaluation
Adapter une politique publique à votre contexte (exigences non applicables)
Tenacy : comprendre les bases et les modules
Avez-vous trouvé la réponse à votre question ?