Aller au contenu principal

Niveau 2 - Vue du processus métier/de mission

Aperçu

Le niveau 2 aborde le risque d'un point de vue processus mission/affaires en concevant, développant et mettant en œuvre des processus mission/affaires qui soutiennent les missions/fonctions d'affaires définies au Niveau 1.

Les activités de gestion des risques au Niveau 2 comprennent :

  1. Définir les processus mission/affaires nécessaires pour soutenir les missions et fonctions d'affaires des organisations ;
  2. Prioriser les processus mission/affaires en fonction des objectifs stratégiques et des buts des organisations ;
  3. Définir les types d'informations nécessaires pour exécuter avec succès les processus mission/affaires, la sensibilité/criticité de l'information et les flux d'informations à la fois internes et externes aux organisations ;
  4. Incorporer les exigences de sécurité de l'information dans les processus mission/affaires ; et
  5. Établir une architecture d'entreprise avec une architecture de sécurité de l'information intégrée qui encourage des solutions technologiques rentables et efficaces cohérentes avec les objectifs stratégiques de l'organisation et les mesures de performance.

Processus Mission/Affaires sensibilité au risque

Les activités de gestion des risques au Niveau 2 commencent par l'identification et l'établissement de processus mission/affaires sensibilisés au risque pour soutenir les missions organisationnelles et les fonctions d'affaires. Un processus mission/affaires sensibilisé au risque est un processus qui prend explicitement en compte le risque probable qu'un tel processus causerait s'il était mis en œuvre. Les processus sensibilisés au risque sont conçus pour gérer le risque conformément à la stratégie de gestion des risques définie au Niveau 1 et prennent explicitement en compte le risque lors de l'évaluation des activités et décisions mission/affaires au Niveau 2.

La mise en œuvre de processus mission/affaires sensibilisés au risque nécessite une compréhension approfondie des missions organisationnelles et des fonctions d'affaires ainsi que des relations entre les missions/fonctions d'affaires et les processus de soutien. Cette compréhension est une condition préalable à la construction de processus mission/affaires suffisamment résilients pour résister à une vaste gamme de menaces, y compris les cyberattaques de routine et sophistiquées, les erreurs/accidents, et les catastrophes naturelles.

Une partie importante de l'atteinte de processus sensibilisés au risque est la compréhension par les hauts dirigeants/cadres de :

  • Les types de sources de menaces et d'événements de menace qui peuvent affecter négativement la capacité des organisations à exécuter avec succès leurs missions/fonctions d'affaires ;
  • Les impacts/conséquences négatifs potentiels sur les opérations et les actifs organisationnels, les individus, d'autres organisations, ou la Nation si la confidentialité, l'intégrité, ou la disponibilité des informations ou des systèmes d'information utilisés dans un processus mission/affaires est compromise ; et
  • La résilience probable à une telle compromission pouvant être atteinte avec une définition donnée de processus mission/affaires, en appliquant des attentes réalistes pour la résilience des technologies de l'information.

Un résultat clé de la définition des processus mission/affaires au Niveau 2 est la stratégie de réponse au risque sélectionnée pour ces processus dans les contraintes définies dans la stratégie de gestion des risques. La stratégie de réponse au risque inclut l'identification des besoins de protection de l'information et l'allocation de ces besoins à travers les composantes du processus (par exemple, allocation aux protections au sein des systèmes d'information, protections dans les environnements opérationnels de ces systèmes, et allocation à des chemins d'exécution mission/affaires alternatifs en fonction du potentiel de compromission).

Évaluation des risques au niveau du processus Mission/Affaires

Au Niveau 2, les évaluations des risques soutiennent la détermination des exigences de protection et de résilience des processus mission/affaires, et leur allocation à l'architecture d'entreprise au sein des segments mission/affaires. Ces segments incluent généralement plusieurs systèmes d'information, avec des niveaux variés de criticité ou de sensibilité liés aux missions organisationnelles essentielles ou aux fonctions d'affaires.

La gestion des risques au Niveau 2 est étroitement alignée avec le développement des Plans de Continuité des Affaires (PCA), assurant que les processus continuent de fonctionner même en cas de systèmes compromis.

L'allocation des exigences de protection et de résilience est réalisée à travers une architecture de sécurité de l'information intégrée à l'architecture d'entreprise. L'architecture de sécurité de l'information représente cette partie de l'architecture d'entreprise spécifiquement adressant la résilience des systèmes d'information et fournissant des informations architecturales pour la mise en œuvre des capacités de sécurité. L'architecture de sécurité est un composant crucial de l'architecture d'entreprise, aidant les organisations à sélectionner des contrôles communs qui sont hérités par les systèmes d'information organisationnels au Niveau 3.

Les considérations de gestion des risques peuvent être abordées comme une partie intégrante de l'architecture d'entreprise en :

  • Développant une architecture segmentaire liée aux objectifs stratégiques et aux buts des organisations, aux missions/fonctions d'affaires définies, et aux processus mission/affaires associés ;
  • Identifiant où une réponse efficace aux risques est un élément critique du succès des missions et fonctions d'affaires organisationnelles ;
  • Définissant les exigences de sécurité de l'information appropriées au niveau architectural dans des segments définis par l'organisation basés sur la stratégie de gestion des risques de l'organisation ;
  • Incorporant une architecture de sécurité de l'information qui met en œuvre des exigences de sécurité de l'information au niveau architectural ;
  • Traduisant les exigences de sécurité de l'information de l'architecture segmentaire en contrôles de sécurité spécifiques pour les systèmes d'information/environnements d'exploitation dans le cadre de l'architecture de solution ;
  • Allouant des contrôles de sécurité de gestion, opérationnels, et techniques aux systèmes d'information et aux environnements d'exploitation tels que définis par l'architecture de sécurité de l'information ; et
  • Documentant les décisions de gestion des risques à tous les niveaux de l'architecture d'entreprise.

Les activités du Niveau 2 affectent directement les activités menées au Niveau 3. Par exemple, la partie de l'architecture de sécurité de l'information de l'architecture d'entreprise développée au Niveau 2 influence et guide l'allocation des besoins de protection de l'information, ce qui, à son tour, influence et guide l'allocation des contrôles de sécurité à des composants spécifiques des systèmes d'information organisationnels au Niveau 3.

Les résultats des évaluations de risques produits au Niveau 2 sont communiqués et partagés avec les entités organisationnelles au Niveau 3 pour aider à informer et guider l'allocation des contrôles de sécurité aux systèmes d'information et aux environnements dans lesquels ces systèmes fonctionnent.

Les évaluations de risques du Niveau 2 fournissent également des évaluations de la sécurité et de la posture de risque des processus mission/affaires organisationnels, qui informent les évaluations des risques organisationnels au Niveau 1. Ainsi, les résultats des évaluations de risques au Niveau 2 sont systématiquement communiqués aux entités organisationnelles aux Niveaux 1 et 3.

L'utilisation de l'architecture d'entreprise peut grandement améliorer la posture de risque d'une organisation en apportant plus de transparence et de clarté dans les activités de conception et de développement, permettant une application plus cohérente du principe de « bonne utilisation » des technologies dans toute l’organisation ; optimisant les compromis entre la valeur retirée et le risque encouru à travers les systèmes d'information soutenant les missions/fonctions d'affaires organisationnelles.

(Sources : NIST SP 800-30, NIST SP 800-39)