Sécurité des Systèmes d’Information : bonne gouvernance et « hygiène » au quotidien

Depuis plus d’un an, la planète entière vit une pandémie. Les citoyens ont découvert tout un vocabulaire médical comprenant des notions de risque, de protection, de gestes barrières, de confinement, de virus…

Lorsque l’on doit faire survivre son entreprise face à de multiples menaces, d’autant plus quand son organisation a dû être bouleversée par des évolutions de pratiques aussi majeures que le télétravail ou la vente à distance, la sécurité de son Système d’Information requiert une véritable hygiène. Comme la lutte contre une pandémie, ce n’est pas une action ponctuelle, c’est une véritable stratégie à concevoir et à organiser au long cours. Comment structurer la gouvernance de cette sécurité du SI sans avoir à tout réinventer ?

Covid-19 et Systèmes d’Informations : de nombreux bouleversements

Lors du premier confinement lié à la pandémie de la Covid-19, les organisations ont dû faire face, en un temps très restreint et avec des moyens limités, à des évolutions du Système d’Information pour lesquelles elles n’étaient pas, ou que partiellement, préparées.

Généralisation des outils collaboratifs

La plus impactante des évolutions a été probablement la généralisation des outils pour permettre le télétravail. Même si des outils collaboratifs préexistaient, il a fallu donner accès depuis l’extérieur de l’entreprise non seulement aux fichiers, mais aussi aux applicatifs en ouvrant parfois des accès à travers des pare-feu. Tous les employés n’étant pas déjà équipés d’ordinateurs portables, certains utilisateurs ont même apporté à leur domicile des ordinateurs de bureau non prévus pour sortir du réseau local. Le plus contraignant pour les équipes informatiques a été de paramétrer à distance des autorisations pour des ordinateurs familiaux. Sur ces ordinateurs non professionnels, la notion de règle de sécurité et de partage d’usage entre des utilisateurs aussi hétéroclites que des enfants ou adolescents n’allait pas de soi.

Le premier bouleversement massif est la généralisation de la visioconférence. Autrefois cet outil était vécu comme un peu gadget, réservé à des entreprises de niche comme les startups, ou certains cadres. En quelques semaines, tous les types d’entreprises, tous les types de salariés, se sont mis à ce mode de réunion « virtuelle ». Cela n’a pas été sans difficulté technique ni organisationnelle. Certains utilisateurs ont dû d’abord braver les ruptures de stock pour équiper leur poste fixe avec une webcam et/ou un micro-casque audio.

Des difficultés organisationnelles

Mais au-delà des problèmes techniques qui ont pu être résolus avec l’aide des équipes informatiques, l’autre difficulté qu’il a fallu surmonter a été d’ordre organisationnel. Non seulement on n’anime pas et on ne participe pas à une réunion en visioconférence comme à une réunion en présentiel, mais la difficulté est démultipliée quand les utilisateurs distants ont d’autres contraintes (garde d’enfant par exemple) ou quand il faut mixer des réunions à la fois en présentiel et en distanciel.

Adaptation de la vente en ligne

Un autre bouleversement a été, pour certains secteurs d’activité, la vente en ligne. Pour une entreprise habituée et souvent même attachée au rapport physique avec ses clients, la survie a consisté à totalement changer à la fois la façon de présenter ses produits et services, mais aussi de les vendre et de les livrer. Non seulement il a fallu adapter en un temps record les « front office », mais aussi transformer tout le « back office ». Là aussi, les structures disposant d’équipes informatiques internes ou de prestataires externes réactifs ont su tirer leur épingle du jeu.

Les organisations les plus agiles ont pu à cette occasion prendre un avantage concurrentiel indéniable, qui même pendant les périodes de « déconfinement » s’est maintenu.

Sécurisation et bonne gouvernance : les 2 leviers pour un SI protégé

Comment les organisations ont su faire face à la crise avec succès ? Il n’y pas de recette magique. Mais il y a 2 leviers à actionner en même temps et de façon synchroniser.

Le premier levier, celui qui est indispensable, est celui de la sécurisation de son Système d’Information. En cette période d’incertitude et de bouleversement, la cybercriminalité s’est accrue.

Du fait du télétravail, de l’ouverture vers Internet pour la vente à distance, des menaces nouvelles ou plus étendues ont affecté les ressources d’informations critiques de l’entreprise. En tant que ressource critique, l’information doit être traitée comme tout autre actif essentiel à la survie et au succès de l’entreprise. L’information étant devenue essentielle aux activités métiers et supports, la sécurité numérique affecte donc tous les aspects de l’entreprise.

Nécessité d’une bonne « hygiène » informatique

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) évoque même depuis de nombreuses années, avant même la pandémie, le terme d’hygiène informatique pour décrire les mesures techniques à prendre pour garantir la sécurité du SI. En effet, la même logique prévaut dans le monde numérique pour mettre en place et faire appliquer des règles élémentaires de sécurité sanitaire.

Tout service informatique, interne ou aidé par un prestataire externe, peut s’appuyer sur les recommandations de cette agence à compétence nationale, même lorsqu’à priori l’activité de l’entreprise n’a pas de lien avec la sécurité nationale. Car aujourd’hui, n’importe quelle PME ou ETI peut être la cible d’une attaque informatique. Or les conséquences d’une attaque informatique, aussi simple qu’un rançongiciel, peut ruiner en quelques jours la plus florissante des entreprises, ne serait-ce qu’au niveau de sa respectabilité.

De l’importance d’une bonne gouvernance des Systèmes d’Informations

Appliquer des règles techniques d’hygiène informatique c’est bien, mais ce n’est pas suffisant. Compte tenu de l’articulation du Système d’Information avec l’ensemble des métiers et activités de l’entreprise, il est indispensable de mettre en place une bonne gouvernance à même de rassurer la direction générale, les partenaires, et les clients. Et au-delà de rassurer, la gouvernance de la cybersécurité est intimement liée avec la gouvernance globale du SI.

Les métiers, afin de réaliser leurs objectifs (production, marketing, vente, etc.), sont de plus en plus autonomes pour définir des besoins fonctionnels et piloter la mise en œuvre d’applications informatiques dédiées. Sans cohérence de sécurité, le manque de gouvernance globale est un risque très important d’introduire des failles qui ne manqueront pas d’être exploitées par des cybercriminels, ou plus prosaïquement de permettre la fuite de données par des salariés négligents ou malveillants.

Les indispensables à la sécurisation et à la bonne gouvernance de vos SI

La structuration de la gouvernance notamment en matière de sécurité passe par des actions simples, mais indispensables. Il convient de commencer par établir un état des lieux de vos systèmes d’informations, et de mettre en place un plan d’action de mise à niveau sécuritaire.

La formation des équipes informatiques, mais aussi la bonne sensibilisation de l’ensemble des utilisateurs aux bonnes pratiques élémentaires permet de réduire le risque lié à l’humain.

C’est pour cela qu’il est indispensable d’organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs. Il faut aussi identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur de celui d’administrateur, et attribuer les bons droits sur les ressources sensibles du système d’information.

Au niveau technique, la sécurisation des postes informatiques, des serveurs, notamment vis-à-vis d’Internet est primordiale. De même, la mise à jour et la maintenance des logiciels et des systèmes sont indispensables.

Aujourd’hui, une organisation n’est plus à se demander si elle risque d’être piratée, mais bien de savoir quand cela arrivera. Il faut donc être prêt. Pour cela, il convient de désigner un référent en sécurité des systèmes d’information qui sera chargé de définir et de faire appliquer des procédures, y compris quand un incident de sécurité se produira.

Du fait de son expérience de structuration des services DSI, Deuzzi agit à la fois sur les enjeux opérationnels et les enjeux stratégiques de la sécurisation du Système d’Information. En constituant à chaque fois une équipe « cousue main » adaptée aux problématiques de chacun de ses clients, en complétant et en permettant la montée en compétences des équipes internes, nous répondons spécifiquement aux besoins, en nous appuyant sur des référentiels de bonnes pratiques adaptés à la sécurité du SI des PME et des ETI.

Pour aller plus loin, nos DSI et consultants sont à votre disposition pour échanger.