📅 Chapitre 2 : Les 90 premiers jours

Phase 1 : Recherche (Jours 0-25)

Lors de cette première étape, il s’agit de rencontrer la direction et les parties prenantes clés, d’auditer les systèmes et politiques existants, d’examiner les flux de données, d’analyser les incidents passés et de comprendre la place de la sécurité dans le cycle de développement logiciel. Le but est d’avoir une vision complète des ressources, des vulnérabilités et des enjeux spécifiques à l’organisation.

Phase 2 : Compréhension (Jours 0-40)

Fort des informations recueillies, on passe à l’évaluation des risques. Cette évaluation objective, réalisée à l’aide de questionnaires et d’outils de scanning standardisés, permet de dresser un tableau clair des menaces et des priorités. On identifie ainsi les zones nécessitant une attention immédiate.

Phase 3 : Priorisation et Communication (Jours 15-55)

En parallèle, on définit les domaines d’intervention prioritaires. Puis, on élabore un plan de communication pour informer dirigeants, équipes et partenaires des actions prévues, des risques identifiés, et des premiers résultats. Cette transparence renforce la confiance et facilite la collaboration interfonctionnelle.

Phase 4 : Exécution (Jours 30-70)

C’est le temps de passer à l’action. Les contrôles, politiques et formations sont déployés afin d’atténuer les vulnérabilités les plus urgentes. L’automatisation entre en scène pour réduire la charge des tâches manuelles, minimiser les erreurs et accélérer la mise en œuvre des mesures de protection.

Phase 5 : Rapport (Jours 45-90)

Enfin, il faut mesurer l’impact des actions menées. Des rapports détaillés sont fournis aux parties prenantes, faisant état des progrès accomplis, des incidents gérés et des axes d’amélioration. On évalue l’efficacité des mesures, on identifie les adaptations nécessaires, et on prépare la suite des opérations pour maintenir une posture de sécurité efficace et évolutive.