L’ISP, qu’est-ce que c’est?

ISP : quésaco ?

L’ISP, pour Intégration de la Sécurité dans les Projets, est l’un des éléments fondamentaux de l’approche “security by design”. Elle permet d’anticiper les besoins de sécurité et de protéger les entreprises contre les principaux risques qu’elles pourraient encourir dans le cadre de leurs activités numériques.

Souvent associée à des référentiels ou des méthodologies basés sur l’approche des risques IT, l’ISP permet d’accompagner les projets au début, pendant et jusqu’à la fin de ces derniers. La sécurité est assurée grâce au suivi et au respect de différents indicateurs (on parlera aussi de mesures) de sécurité qui peuvent être issus ou non d’un référentiel connu ou développé en interne. Par ailleurs, l’ANSSI a conçu un guide, il y a plusieurs années, le GISSIP, accessible ici.

Les avantages à y adhérer

Adhérer à la démarche d’intégration de la sécurité dans les projets permet à chaque entreprise de disposer d’une couverture globale sur l’ensemble des projets numériques qu’elle entreprend. Par ailleurs, elle dispose d’une vision orientée risque à travers le travail d’identification des risques IT que la démarche couvre. Cela va lui permettre d’arbitrer et prioriser certaines actions de remédiations afin de traiter ses risques.

L’ensemble des mesures définies dans le cadre de la démarche permet également de s’assurer du bon niveau de sécurité autour des projets de l’entreprise.

Être proactif sur la sécurité de ses actifs numériques permet de gérer au mieux les risques et ainsi de réduire les coûts que pourraient engendrer une cyberattaque ou un manque de sécurisation du système d’information de l’entreprise.

Comment faire ?

Il n’y a pas de méthodologie dite “type” pour mettre en œuvre l’intégration de la sécurité dans ses projets, mais plutôt des grands principes à garder à l’esprit. En effet, une startup ou petite entreprise n’aura pas les mêmes besoins qu’un grand groupe et n’adoptera donc pas la même approche.

Nous allons donc évoquer ici, dans un premier temps, les grands principes, et, dans un second temps, des exemples de mesures vous permettant d’associer chacune de ces parties à des actions pouvant être mises en œuvre.

Les grands principes de l’intégration de la sécurité dans les projets :

identifier le plus en amont possible les projets : l’identification des projets dès leurs lancement permet d’aborder au plus tôt les questions de sécurité et d’effectuer plusieurs actions pouvant avoir un impact si ces dernières n’ont pas été prises en compte (exemple : si une prestation avec un sous-traitant n’a pas fait l’objet d’une analyse des clauses de sécurité) ;
analyser le niveau de sécurité des projets : que cela soit réalisé par le biais d’une analyse de risque ou d’une analyse d’impact métier, il est important de comprendre les enjeux métiers de chaque projet, et donc d’identifier rapidement les principaux risques et les mesures de sécurité à intégrer ;
fédérer l’équipe projet autour des sujets sécurité : il en va de soi que les sujets de sécurité sont transverses à un projet, cependant ces derniers ne peuvent en aucun cas être négligés. C’est pour cela que le porteur des sujets sécurité de l’entreprise a besoin et doit d’être écouté par l’ensemble de l’équipe projet. Seul on va plus vite, ensemble on va plus loin!.

Voici à présent quelques conseils et exemples de mesures de sécurité à implémenter ou à avoir à l’esprit :

intégrer la sécurité dans tous vos projets, voyez grand! : vous pouvez cibler des référentiels ou normes connus pour couvrir un ensemble de thématique vous permettant d’avoir une ou plusieurs mesures. Cet ensemble constitue votre socle sécurité et vous permettra d’oublier aucun contrôle lors de vos ISP ;

priorité et récurrence : vos projets n’ont peut-être pas tous la même importance, le même budget ou encore les mêmes enjeux métiers. C’est en ce sens que l’analyse sécurité faite en amont (analyse d’impact, de risques, …) va vous donner la tendance en terme de suivi sécurité. Distinguer les projets sensibles de ceux qui le sont moins est important et doit vous permettre d’être plus vigilant tout au long de la durée de vie de ces derniers. La plupart des mesures de sécurité disposent d’une récurrence qui nécessite un suivi régulier;
communiquer avec vos parties prenantes : pensez à communiquer! Vos parties prenantes, qu’elles soient passives ou directes, doivent se rendre compte que leurs investissements apportent de la valeur!

Ce qu'Allistic peut vous apporter

Allistic peut vous accompagner dans vos projets! Sur un besoin ponctuel ou de plus longue durée, nos consultants expérimentés sont à même de pouvoir vous accompagner :

vous former à l’ISP ;
construire le socle de votre ISP ;
vous fournir les documents de références ;
réaliser vos analyses de risques ou d’impacts métiers ;
accompagner plusieurs ou l’ensemble de vos projets.

La liste étant non-exhaustive, n’hésitez pas à nous contacter afin d’obtenir des réponses à vos questions. Nous sommes à votre disposition.

Les articles qui pourraient également vous intéresser ..

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

Jean-Michel
7 février 2024
blog

EDR, le premier rempart contre les cyberattaques Les solutions EDR, pour Endpoint Detection & Response,…

Grandir et faire grandir - Interview d'Anthony

Jean-Michel
15 janvier 2024
blog

Ce mois ci, nous avons décidé d'interviewer Anthony. Anthony a rejoint Allistic en tant qu'alternant dans le cadre de son Mastère Expert Cybersécurité

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

Jean-Michel
18 décembre 2023
blog

La période de Noël apporte son lot de joie et de célébrations, mais elle s'accompagne…

Sécurité informatique des PME et ETI : L'externalisation, un allié stratégique

Jean-Michel
12 décembre 2023
blog

La cybersécurité demeure un enjeu crucial pour les PME et ETI, confrontées à des défis…

Allistic Obtient le Label Expert Cyber !

Nous sommes fiers et ravis d'annoncer une nouvelle réalisation qui témoigne de notre engagement constant envers l'excellence en matière de cybersécurité : Allistic a obtenu le prestigieux label Expert Cyber !

Allistic, Prestataire officiel du CSIRT Hauts-de-France

Nous sommes ravis d'annoncer une nouvelle passionnante qui marque une étape significative dans le parcours d'Allistic. Nous avons été sélectionnés en tant que prestataire officiel du CSIRT Hauts-de-France .

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

ISP : quésaco ?

Les avantages à y adhérer

Comment faire ?

Ce qu'Allistic peut vous apporter

Les articles qui pourraient également vous intéresser ..

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

Grandir et faire grandir - Interview d'Anthony

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

Sécurité informatique des PME et ETI : L'externalisation, un allié stratégique

Allistic Obtient le Label Expert Cyber !

Allistic, Prestataire officiel du CSIRT Hauts-de-France

Allistic - Paris

Allistic - Lille

Newsletter.

Ne ratez pas les dernières infos de la cybersécurité