Comment pouvez-vous faire une analyse de l’état du système de sécurité, sans omettre des points importants? Pensez à utiliser la matrice SWOT pour résumer votre point de vue. Cette approche est particulièrement efficace lors de la communication avec Votre manager ou directeur exécutifs.
L’acronyme SWOT, qui signifie Strengths(forces), Weaknesses(faiblesses), Opportunities (opportunités) and Threats (menaces) , est conçu pour vous rappeler les principaux facteurs à prendre en considération lors de l’analyse d’une situation.
La colonne de gauche liste les facteurs utiles et positifs, celle de droite liste les facteurs nuisibles et négatifs. La ligne de haut comprend les facteurs internes au système analysé; celle de bas comprend les facteurs externes au système.
Nous allons examiner le contenu de chaque cellule de la matrice SWOT:
Forces liste les aspects les plus efficaces de la sécurité du système, par exemple : le contrôle de l’accès au réseau ou la politique de sécurité globale. L’amélioration du système de sécurité peut être accomplie en s’appuyant sur ces atouts.
Faiblesses décrit les aspects du système qui le mette en péril, par exemple la faible validation d’entrée, ou l’absence de gestion efficace du journal. Ces aspects du système devraient être améliorés.
Opportunités décrit les facteurs externe au système qui peuvent aider à améliorer sa sécurité. Cela pourrait être la disponibilité de fonds pour des formations à la sécurité pour les développeurs, ou l’existence d’un système d’authentification qui a été acheté, mais n’a jamais été déployées. Les éléments de cette cellule pourraient être des fruits suspendus qui peuvent améliorer la sécurité du système.
Menaces met en lumière les facteurs externes qui amplifient les effets néfastes des faiblesses internes du système. Par exemple, l’entreprise peut faire l’objet d’amende imposé par la réglementation, ou avoir de faibles pratiques de gestion du changement.
L’approche de la matrice SWOT est particulièrement efficace lorsque la société définit des objectifs précis envers le système qui doit être évalué. Dans le contexte de la sécurité du système d’information, ceci implique une connaissance envers le risque du système, la sensibilité des données, les objectifs économiques, et d’autres facteurs qui influent sur l’architecture du système de sécurité.
Si vous aimez cette approche, je vous invite à télécharger le modèle éditable la matrice SWOT ici (Doc En) (Doc Fr) que Lenny Zeltser de SAVVIS Security Consulting Services a créé et que j’ai traduit en français .
Pour plus d’informations sur l’utilisation classique de l’analyse SWOT, jetez un coup d’œil à l’article correspondant sur Wikipédia .
La méthode SWOT est en effet une méthode remarquable pour analyser bien des situations où l’on doit confronter son positionnement à son environnement.
Mais si le principe en est simple, la mise en oeuvre peut s’avérer complexe dès que les facteurs sont nombreux ! Si par exemple on a identifié 10 forces, 10 faiblesses, 10 opportunités et 10 menaces, il faut alors confronter 20 facteurs de prositionnement à 20 facteurs d’environnement, soit 400 couplages !