Marc- éric Trioullier, co-auteur de l’ouvrage « Sécurité des architectures Web » paru chez Dunod et consultant du cabinet Infhotep témoigne de son expérience sur la sécurité dans le monde de l’entreprise :
« Une politique de sécurité définit logiquement des normes au niveau des développements, de l’architecture et de l’infrastructure. Elle doit de plus instaurer des règles organisationnelles (des mécanismes de surveillance de l’architecture, des procédures d’administration, etc.). Elle doit enfin mettre en place une norme d’analyse des risques avec des listes de menaces, des probabilités associées, des règles de criticité, des mesures de prévention et les conséquences induites en cas de réalisation.
Les utilisateurs et les équipes techniques (développeur, exploitant) doivent être sensibilisés à la politique de sécurité.
La politique de sécurité est donc un savant mélange entre des règles au niveau de l’application, au niveau de la machine et au niveau du réseau. Elle est validée régulièrement par des phase d’audit de conformité. »
