Si vous venez du monde de la technique, plutôt que celui du management et que vous commencez à prendre en compte les problématiques de sécurité dans votre structure, vous risquez peut-être d’être noyé par la masse de projets à mener de front :

• Cartographie des risques
• Rédaction d’une charte ou d’une politique de sécurité
• Mise en place d’un système de management de la sécurité
• Mise en œuvre de mesures techniques
• Audit de sécurité

L’approche la plus efficace à mon avis est de commencer par la mise en œuvre côté terrain avant de s’attaquer à la vision de management.

C’est aussi le parti pris du livre d’Alexandre Fernandez-Toro : « Sécurité opérationnelle ». Je ne touche pas de royalties en le citant mais je ne peux que vous le conseiller, car il explique clairement comment et pourquoi mettre en place les mesures qui permettent à votre entreprise de sortir de la « zone d’humiliation ».

D’un point de vue norme, on peut de la même manière partir de la norme ISO27002 qui est le pendant opérationnel de la 27001 qui est une norme de Management de la sécurité.

Sachant que vous ne pourrez pas mettre en place toutes les préconisations, l’approche terrain d’abord vous donne un fil conducteur sur les objectifs à atteindre d’ici plusieurs années.

Sur le même sujet :

• La sécurité avec Docker – Chapitre final : Le test
• La sécurité avec Docker – Chapitre 4 : Les images et les dépôts
• La sécurité avec Docker – Chapitre 3 : Les utilisateurs