Durée: 12 mois
Rubrique: Architecte cybersécurité
La troisième étape dans le processus d'élaboration d'une politique de sécurité est la Définition des Exigences de Sécurité. Dans ce contexte, les exigences de sécurité réfèrent aux spécifications détaillées de ce qu'un système doit faire pour se conformer à la politique de sécurité.
Pour définir précisément ces exigences de sécurité, il faut initialement établir les besoins de sécurité de l'entité, que ce soit une entreprise ou une organisation. Ces besoins de sécurité sont généralement fondés sur les risques identifiés lors de l'évaluation des risques. Par exemple, si une entreprise identifie un risque potentiel de vol de données, une exigence de sécurité pourrait être la mise en place d'un système de chiffrement de données.
Les exigences de sécurité devraient également prendre en compte les lois et régulations en vigueur dans le secteur d'activité de l'entité. Par exemple, une entreprise dans le secteur de la santé devrait respecter des règles strictes pour la protection des données sensibles des patients. Ainsi, une de ses exigences pourrait être la conservation sécurisée de ces informations.
Une autre considération importante lors de la définition des exigences de sécurité est l'exploitabilité du système. Un système ultra sécurisé mais inutilisable ne serait pas bénéfique pour l'entité. Les exigences de sécurité devraient donc aussi prendre en compte l'efficacité et l'efficience du système.
Le résultat de cette étape devrait être un ensemble réfléchi et complet d'exigences de sécurité qui aideront à protéger l'entité contre les risques identifiés, tout en respectant les lois et règlements en vigueur, et sans compromettre l'exploitabilité du système.