Mise en place d’une méthodologie de gouvernance de la sécurité dans les projets Réseaux/Infra/SI

Contexte et enjeux

Dans le cadre d’une volonté des pilotages par les risques sur 100% des projets et de convergences des pratiques sécurité sur l’ensembles des entités d’Orange France pour le compte de la DTSI (Direction technique du SI) un mission d’accompagnement à la mise en place de cette méthodologie de gouvernance sécurité a été demandé.

Solutions mise en œuvre

– Entretiens et cartographie des risques identifiés sur l’ensemble des projets gérés par les multiples sous-entités clientes,
– Mise en place d’un référentiel validé par l’ensemble des entités du client,
– Développement d’un outil fédérateur pour le déroulement d’AR macro automatisé sur 100% des projets en phase THINK et RUN,
– Validation de la démarche (méthodologie) globale par PoC successifs.

Passage en phase d’exploitation

– Mise en place de la gouvernance : Comité sécurité pour la mise à jour de cet outil baptisé « iRisk », intégration dans le processus sécurité groupe intitulé « SAFRAN », soutien et sessions de formation des acteurs sécurité,
– Rédaction des kit de communication, spécifications fonctionnelles, guide d’administration.

Bénéfices

Mise en place d’un référentiel groupe et d’un outil nommé « iRisk » standardisant les mesures/risques/questions et permettant :
– La génération de questionnaires risques auto-générés par type de projet (SI/Infra/Réseau),
– La génération semi-automatiques de multiples rapports,
– Le suivi sous plusieurs angles par tout les acteurs sécurité (CP, CSSI, RSSI, …) du plan de traitement des risques produits,
– Refonte du processus de gestion des risques côté client intitulé SAFRAN (Native Security),
– Mise en place d’un gouvernance des risques sécurité centralisée pour une prise en compte de la sécurité sur 100% des projets.