|
LA SOLUTION SELF-EXPERT SUR MESURE
|
|
|
|
Je veux tout traiter dans un référentiel unique !
J'ai des standards métier à respecter !
Je ne m'y retrouve pas dans toutes ces règles !
Je voudrais y voir clair en sécurité des informations !
J'ai aussi des obligations légales !
IL EST PROFITABLE DE REGROUPER LES REFERENTIELS !
|
|
Avoir un référentiel SE contenant toutes les règles de sa politique
|
Un des savoir-faire spécifiques de SE Conseil est de bâtir des référentiels.
Le logiciel Self-Expert est livré avec un contenu. Ce contenu est constitué d'un reférentiel de tableau de bord SE, et d'un canevas de plan d'action.
La capacité de rédiger des règles et de les structurer sous forme de cibles requiert une aptitude particulière. On est vite confronté au syndrome de la page blanche.
Pourtant, avec une méthode adaptée, cela n'est pas très compliqué à faire. C'est ce savoir-faire qu'a dû développer SE Conseil pour enrichir son logiciel Self-Expert.
Ce service peut être offert aux organisations qui désirent disposer de leur propre référentiel. Nous allons voir brièvement comment cette construction s'articule.
Pourquoi Self-Expert est une solution de nouvelle génération
|
|
Une politique est un ensemble de règles pour atteindre un but
Sans méthode et sans accompagnement, les politiques ne sont pas faciles à rédiger.
|
Mais il existe un moyen assez simple d'y remédier. Il faut d'abord se demander nos buts. Rechercher ensuite toutes les règles à notre disposition, les structurer, et ne pas se laisser submerger par la tâche.
|
|
Car les documents papier sont disparates. Ce sont des tableaux, des textes, des planches...
Une fois les documents regrouper, il faut les compiler, puis en rédiger les points de manière homogène, les compléter. et enfin, structurer le tout.
Certes, sans un logiciel de management adéquat la chose n'est pas aisée. Alors qu'elle est grandement facilitée avec Self-Expert !
Avec le logiciel SE, le résultat final est un tableau de bord clair et opérationnel.
Bien sûr, la méthode contribue beaucoup à la faisabilité de ce travail.
|
Le pilotage d'une politique est tellement plus facile avec un référentiel bien bâti !
Exemple de construction de référentiel : la mise en arborescence d'un décret
|
Nous illustrons ci-dessous un exemple d'organisation des articles du décret du 15 mai 2007 relatif à la confidentialité des informations Santé.
Lorsque les textes sont présentés de façon claire, comme les dispositions ci-dessous, la migration des règles vers les points de conformité du tableau de bord Self-Expert n'est plus une grande affaire pour SE Conseil.
|
AVANTAGES ET BENEFICES DE SE IT
L'effet immédiat de Self-Expert est de dynamiser le domaine d'activité qu'il traite. Il renforce la certitude que ce que l'on fait est correct et que cela sera valorisé. Ainsi, les décisions s'imposent d'elles-mêmes et les actions suivent.
L'effet à terme de Self-Expert se traduit ensuite par l'amélioration des processus de travail dans toute l'organisation. Il engendre alors des gains de productivité et il crée une image de qualité.
Ces gains sont précisés ci-dessous.
Nous abordons ici les éléments d’appréciation pour établir un ROI.
Le principe de ce tableau est de distinguer les gisements d’économies possibles générés par Self-Expert, dont les bases de calcul diffèrent d’un point faible à l’autre de la situation.
|
Situation
|
AVANT SE
|
APRES SE
|
|
Absence des protections nécessaires
|
Failles de sécurité. Risques d’accidents, d’erreurs et de malveillance.
--> risques de coûts élevés non prévisibles
|
Actions de sécurité spontanément engagés.
Actions internes produisant des résultats.
Les lacunes se comblent peu à peu.
|
|
Absence de politiques formelles en sécurité des informations
|
Coordinations imparfaites dans ces domaines.
Projets rares ou pas assez productifs.
Risques élevés de perte de contrôle de la situation.
Moyens chroniquement insuffisants
Investissements inadéquats.
--> budgets difficiles à justifier
|
Décision spontanée de documenter l’existant.
Buts de la politique clarifiés.
Précision des objectifs.
Meilleure définition des règles de la politique.
|
|
Carences d’organisation
|
Procédures de sécurité imprécises.
--> surcoûts de production et de projets
|
Mise en évidence de processus réalisables.
Révèle les actions secondaires.
Facilite la priorisation des tâches.
|
|
Absence de compétences SSI internes
|
Dépendance des compétences extérieures. Perte de contrôle.
Mises en œuvre insuffisantes de la sécurité.
Prises de décisions de projets sécurité plus lentes.
Risque de perte d’influence.
--> coûts élevé de la sécurité
|
Certitudes sur les actions à engager.
Repérage de nombreuses actions pouvant être faites en interne.
Autorité gagnée en sécurité.
|
|
Absence de systèmes de contrôles de conformité
|
États des non-conformités non maîtrisés.
--> surcoûts par redondance des mêmes incidents.
--> surcoûts d’audits
|
Résolution immédiate de l’auditabilité du système de management.
|
|
Documents nombreux et difficiles à gérer
|
Trop de textes. Informations importantes noyées dans la masse.
Mise à jour laborieuse des documents .doc, .xls, .ppt non centralisés.
Accès difficiles de certaines informations.
Impact faible des passages de consignes et autres communications.
--> surcoût du temps perdu, dont les dérapages de projets
|
Les informations sont accessibles par les collaborateurs et l’encadrement.
Consignes claires et précises.
Mise en évidence des actions.
Temps gagné sur la recherche d’information
|
|
Situation
|
Raisons du changement
|
|
Absence des protections nécessaires
|
Prise de conscience par les acteurs* qu’il faut faire quelque-chose.
Nombreuses actions rendues faisables en interne.
Certitude de la valeur de ces actions (bonnes pratiques) et que leurs résultats seront valorisés par la solution (impact dans l’organisation et pérennité).
* Les personnes qui accèdent au tableau de bord SE
|
|
Absence de politiques formelles en sécurité des informations
|
Apport des règles et des cibles.
Apport d’un canevas global et standard de politique Sécurité. Donne des idées.
Mise en évidence des points essentielles
|
|
Carences d’organisation
|
Effet structurant des tâches du tableau de bord SE.
Apport de bonnes pratiques sous forme de canevas.
Délégation des tâches facilitée.
|
|
Absence de compétences SSI internes
|
Toutes les cibles sont déclinées dans le logiciel.
Chaque domaine sécurité est structuré logiquement.
Un plan d’action en 10 étapes est proposé pour chacun des grands dossiers sécurité.
|
|
Absence de systèmes de contrôles de conformité
|
Les règles et leurs domaines de sécurité sont dotés d’un indicateur de conformité.
Contrôle des anomalies facilité, permettant l’anticipation.
|
|
Documents nombreux et difficiles à gérer
|
La base de Self-Expert est centrale et contient les informations opérationnelles.
Toutes les règles de la politique sont décrites de manière concise et pratique.
La documentation annexe est liée aux cibles du tableau de bord SE.
Les évolutions sont tracées.
|
|
Situation
|
Bases de calcul du retour sur investissement (ROI)
|
|
Absence des protections nécessaires
|
Évaluation des coûts et des autres conséquences d’incidents graves pouvant survenir.
(effets d’un désastre)
Évaluation des coûts et des autres conséquences d’incidents fréquents.
(support, réparations, corrections…)
(voir l’article « La méthode d’analyse EBIOS »)
|
|
Absence de politiques formelles en sécurité des informations
|
Comparaison de prestations (à l’aide de devis) :
- de définition d’une politique Sécurité,
- de documentation suffisante pour sa mise en œuvre.
Économies sur les projets qui dérapent (souvent parce qu’ils sont prématurés).
Économies sur les prestations qui n’apportent pas de résultats tangibles.
Économie sur les investissements incohérents.
Facilités pour obtenir certains budgets.
|
|
Carences d’organisation
|
Temps gagné sur les blocages et les retards, dus notamment à l’absence d’information.
Économies sur les actions non prioritaires.
Temps gagné sur l’absence de processus.
|
|
Absence de compétences SSI internes
|
Économies de jours d’études.
Économies sur les prestations de nombreuses actions pouvant être engagées en interne (documentation de l’existant, description des objectifs et des procédures, organisation, préconisations, etc.)
|
|
Absence de systèmes de contrôles de conformité
|
économies de supports techniques et de maintenance sur les incidents répétitifs.
Économies sur les jours de prestations demandés par les contrôles externes.
|
|
Documents nombreux et difficiles à gérer
|
Temps gagné sur les projets. Gains de performances.
Économies sur les jours de prestations engendrées par l’absence de documentations.
Économies sur les travaux déjà effectués par ailleurs.
Économies sur les jours de prestations relatifs à l’établissement de règles.
Temps de recherche des informations économisé.
|
La simplicité d'usage de la solution crée la puissance et l'image de l'excellence
La simplicité d'usage de Self-Expert fait que le logiciel est utilisable par tous, malgré son niveau d'expertise.
Cela, combinée avec la méthodologie que sous-tend Self-Expert, permet à l'organisation de se hisser d'un coup aux plus hauts niveaux de maîtrise des bonnes pratiques en matière de qualité et de sécurité.
Avec Self-Expert, la DSI accède plus aisément , et à un moindre coût, à un savoir-faire d'excellence :
|
- Toutes les cibles et les plans d'action de la Politique Sécurité sont décrits.
- Les priorités des mises en oeuvre s'imposent d'elles-mêmes, à l'analyse des indicateurs.
- L'état de conformité des domaines est suivi par leurs responsables comme un audit permanent.
- Il n'y a pas de déperdition des résultats, car l'information est pérennisée. Et l'obsolescence est vite identifiée.
- L'entreprise gagne, sans grand effort, une position d'auditabilité dans le domaine.
- Une méthodologie de travail collaboratif s'instaure naturellement, qui facilite la délégation.
|
Demander une présentation de Self-Expert
|
Nos offres 
