Cybersécurité : dotez votre système d’information d’une politique de sécurité robuste
N’importe quelle organisation est désormais une cible d’attaque informatique. Les faits le démontrent tous les jours. La question n’est plus : “Si vous vous faîtes attaquer”. Mais bien : “Quand vous vous ferez attaquer”. Face à cela, il est primordial d’anticiper, de se préparer. Vous devez avoir un plan qui décrit les mesures de cybersécurité à déployer. A la fois techniquement, mais aussi fonctionnellement et humainement. Pour y arriver, il est nécessaire d’être acompagné par une gouvernance de la cybersécurité. Découvrez alors comment VeryFrog vous offre un tel soutien.
Optez pour une gouvernance de la cybersécurité
Lorsqu’un prestataire informatique parle de cybersécurité, trop souvent il se contente de vous vendre un parefeu ou un antivirus. Certaines entreprises spécialisées vous proposent quant à elles des prestations estampillées “sécurité informatique”. Typiquement, on vous parlera de tests d’intrusion, d’ingénieurie sociale ou encore d’analyse applicative. Mais la cybersécurité est bien plus vaste que ces actions ponctuelles.
Pour sécuriser un système d’information, il faut en prendre la pleine mesure. A quoi bon un parefeu si vos utilisateurs branchent à loisir des clés USB étrangères ? Quel intérêt pour une analyse applicative si vous n’avez pas contractualisé de “rendre compte” avec les éditeurs ? L’unique moyen d’avoir une vue d’ensemble du système d’information est de se doter d’une gouvernance informatique. Cette dernière disposant d’une cartographie exhaustive de votre informatique, elle est la plus à même d’orienter les actions de cybersécurité.
Aussi, la cybersécurité est un jeu d’équilibriste. Le manque de contraintes de sécurité met en danger votre informatique et donc votre activité. Trop de contraintes, en revanche, empêcheront les collaborateurs de travailler. Pire encore, certains chercheront à contourner les mesures pour produire plus efficacement. Le risque du shadow IT sera mécaniquement important. Placer le curseur de la cybersécurité nécessite donc une connaissance fine de votre organisation. On comprend alors aisément qu’un revendeur d’antivirus ou qu’un simple auditeur technique n’est, en fait, pas le bon interlocuteur.
La cybersécurité est donc une nouvelle fois une affaire de gouvernance informatique. Et, à la manière d’un schéma directeur, cette gouvernance doit s’appuyer sur un plan de la cybersécurité : la politique de sécurité des systèmes d’information.
La Politique de Sécurité des Systèmes d’Information (PSSI)
Une PSSI est un document de gouvernance décrivant la cybersécurité au sein d’une organisation. Elle sert de référence pour toute question de sécurité informatique. Mais aussi, elle décrit la mise en œuvre des contraintes.
La Politique de Sécurité des Systèmes d’Information pose les éléments stratégiques de l’organisation. Elle définit son périmètre (matériel et immatériel). Elle pose les objectifs de la démarche et ses contraintes, notamment financières. Enfin, elle présente le besoin de cybersécurité et une analyse des menaces de l’entreprise.
Face aux besoins et aux risques relevés, la PSSI va émettre des règles de sécurité. Ces régles vont agir sur 3 thématiques. La première est votre organisation. En effet, pour que la cybersécurité devienne une culture d’entreprise, elle doit être portée par des collaborateurs bien identifiés. Aussi, des notions de sécurité informatique doivent être inscrits dans les réglements intérieurs voire les contrats de travail. Ainsi, la cybersécurité doit s’inscrire dans le fonctionnement interne de votre entreprise.
Ensuite, la PSSI doit décrire la mise en œuvre des contraintes de cybersécurité. Cette seconde thématique met en lumière les items nécessitant une attention. Un audit de fonctionnement est nécessaire pour cela. Il pourra en découler un besoin de sensibilisation, de contrôle des accès distants ou encore de protection des biens de l’organisation.
Enfin, la PSSI illustrera les solutions techniques à déployer pour implémenter les contraintes identifiées précédemment. Des arbitrages devront être faits, en concertation avec les décideurs. Par exemple, choisir de renforcer les mots de passe en usage n’aura pas le même impact que de déployer des cartes à puces pour authentifiers les collaborateurs. La productivité de l’organsisation peut ainsi s’en trouver mise à mal. C’est pourquoi la cybersécurité doit être débattue dans toute l’organisation. La PSSI livre alors les choix techniques correspondants à une implémentation viable de la sécurité informatique pour votre entreprise.
Finalement, la PSSI fournit un plan d’action. Ce dernier reprend les choix techniques précédents. Il budgétise les solutions et propose un échéancier. Cette roadmap est la prémice d’une gestion de projets de cybersécurité. Une gouvernance informatique devra, de ce fait, en assurer le suivi.
Suivre la mise en œuvre de la politique de cybersécurité
Armée d’une PSSI, la gouvernance de la cybersécurité s’attèle à en assurer la bonne application. La Politique de Sécurité des Systèmes d’Information définit différents projets de sécurité. Elle en esquisse des budgets et des échéanciers. Charge désormais à la direction informatique, à temps partagé éventuellement, de les mettre en musique.
Comme tout projet informatique, les projets de cybersécurité nécessitent un pilote qui assurera le respect des délais et des engagments financiers. Il gérera les imprévus et validera la bonne exécution des missions. Toutefois, contrairement à la plupart des projets informatiques, les projets de cybersécurité nécessitent un suivi post déploiement à long terme.
En effet, l’objectif ultime d’une mise en œuvre de cybersécurité est d’insufler une culture de la sécurité informatique dans une organisation. La sécurité informatique est en effet l’affaire de tous. L’attention des collaborateurs est la meilleur des défenses. Leur discipline est bien plus efficace que n’importe quelle solution technique. Mais cette vigilance de tous les jours nécessite d’être maintenue. Le turn over, les croissances - organiques et externes - diluent cette culture de la cybersécurité.
Pour y remédier, la gouvernance de la cybersécurité doit animer la culture informatique de l’organisation. Cette animation prendra différentes formes, selon la typologie de l’entreprise. Par exemple, des ateliers pédagogiques pourront être mis en place périodiquement. Des simulations de phishings pourront être organisées. Une charte informatique et un guide de bonnes pratiques peuvent (doivent !) être déployés et mis à jour régulièrement. Les idées ne manquent pas, il faut juste un pilote pour les mettre en place.
La cybersécurité est donc bien un affaire de gouvernance. Sans cela, votre organisation ne tirera aucun gain des différentes actions, isolées, qui pourraient être mises en place. Pour bénéficier d’une telle gouvenance, contactez-nous. Renforçons ensemble votre système d’information.