Avec Deuzzi, cochez la case cybersécurité

La cybersécurité est depuis longtemps un enjeu pour les états et les grandes entreprises. C’est désormais aussi une inquiétude importante pour les PME, ETI, associations ou collectivités.

 

En quoi consiste réellement la cybersécurité ? Pourquoi l’élaboration d’une politique de sécurité du système d’information est-elle dorénavant la « première pierre » et la « clé de voute » ?

 

Comment mettre en œuvre un plan d’action calé sur les enjeux, puis assurer le suivi rapproché et la bonne gouvernance de ces sujets ?

 

Cybersécurité : une menace toujours plus présente

 

Depuis l’avènement d’Internet à tous les niveaux de l’économie mondiale, et au-delà, au niveau de la souveraineté des états, la sécurité de l’ensemble des actifs informatiques matériels et immatériels devient cruciale. Au début de ce siècle, cette préoccupation a d’abord été prise en compte par les états les plus industrialisés et par les grandes entreprises, car elles étaient les principales cibles d’attaques entrainant des répercussions significatives en termes financiers et de réputation. Puis, les menaces se sont diversifiées et multipliées. De relativement rares et confidentiels, les outils malveillants se sont multipliés, et sont devenus de plus en plus sophistiqués. En parallèle, le nombre de potentielles victimes a crû de façon exponentielle, de pair avec un nombre toujours croissant de matériels interconnectés entre eux. Chaque matériel connecté à Internet détenant potentiellement un grand nombre de failles de sécurité, résultant soit de problèmes de conception, soit de lacunes dans l’exploitation des systèmes, ou comme bien souvent d’erreurs ou de malveillances humaines.

 

De nos jours, les faits parlent d’eux-mêmes : nous avons tous vécu ou eu connaissance d’attaques informatiques. Qui n’a jamais entendu parler de la paralysie d’un hôpital obligé de revenir au papier et au crayon, car tous les serveurs sont bloqués par un virus cryptolocker ? Du « simple » piratage de compte avec vol de données, jusqu’aux attaques entrainant des dégâts physiques irréversibles, les cas sont de plus en plus nombreux, les conséquences et les dégâts de plus en plus astronomiques. À la suite d’une attaque informatique, nombre de TPE ou de PME ne s’en remettent pas et finissent par déposer le bilan.

 

Nécessité d’une politique de sécurité des systèmes d’information (PSSI)

 

Face à tous ces risques avérés, la cybersécurité est l’ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour se protéger. Car toutes les entreprises, associations ou collectivités, même les plus anodines, même les plus petites, sont des cibles potentielles. Autrefois artisans ou spécialistes autonomes, les pirates informatiques font désormais partie de multinationales du crime, utilisant des outils industrialisés.

 

Quelle que soit sa taille, toute organisation est désormais de plus en plus dépendante du bon fonctionnement de son Système d’Information (SI). Celui-ci est constitué bien sûr des matériels et logiciels, mais contient aussi des données, des processus qui dématérialisent un ensemble d’activités cruciales. La criticité de chacun des sous-ensembles du SI doit être évaluée. Pour cela, on se doit de constituer une matrice dont les paramètres principaux sont la probabilité d’apparition et la gravité de chaque risque. Une fois quantifiés et qualifié, les différents dangers qui peuvent affecter le SI pourront être contrés de façon préventive et curatives avec les moyens adéquats.

 

Pour cela, il convient de définir la politique de sécurité des systèmes d’information (PSSI) dont découlera le plan d’action permettant de maintenir un certain niveau de sécurité. Cette PSSI doit refléter la vision stratégique de la Direction de l’organisme, en incluant une vision large, ne se limitant pas à la seule sécurité informatique.

 

Ce document fondateur définit les objectifs à atteindre et les moyens accordés pour y parvenir. Le contenu de la PSSI est propre aux spécificités de chaque entreprise ou organisme. Il tient compte de nombreuses considérations stratégiques, déontologiques, légales, ou réglementaires. Au-delà des risques, il peut aussi être pris en compte des accidents, des erreurs, ou des défaillances possibles. Pour la définition et la rédaction de la PSSI, il est possible de s’appuyer sur les recommandations, les outils et méthodes de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

 

La PSSI, clé de voute de la gouvernance

 

Si la PSSI est bien une « première pierre » indispensable à tous ceux qui doivent maîtriser les risques, il convient d’en faire une « clé de voute » par la gouvernance du SI. En effet, l’amélioration continue des processus de création de valeur pourra ainsi tenir compte de la gestion des risques et des performances. Ainsi, l’entreprise pourra maintenir sa capacité opérationnelle, et elle pourra mettre en place les stratégies nécessaires à l’extension de ses activités dans l’avenir.

 

Dans le cadre de la PSSI, et notamment pour optimiser les politiques de cybersécurité, des actions préventives et curatives très diverses peuvent être menées. Il est par exemple utile, dans la phase d’identification et de mesure des risques, de faire réaliser des tests d’intrusion (pentest). Généralement, les moyens de protections (pare-feu, antivirus, antispam) sont les premiers à être renforcés. Mais autre élément clé, les solutions de sauvegarde des données sont consolidées, en s’attachant notamment à les mettre « hors ligne », hors d’atteinte des virus cryptolocker. Hormis les aspects matériels et logiciels, des actions importantes concernent les processus de mise à jour, de chiffrement, etc.

 

Autre volet primordial, les risques liés aux personnes seront traités sous différents angles : sensibilisation, prévention, formation. De plus, une partie de plus en plus importante du SI étant externalisée, généralement dans le cloud, le pilotage rapproché de la sécurité devient un élément clé et primordial, via la contractualisation et le suivi de nombreux prestataires : hébergeurs, éditeurs, développeurs, intégrateurs.

 

Compte tenu des enjeux liés à la cybersécurité, la maintenance ou l’infogérance ne sont qu’une pièce du puzzle. Deuzzi accompagne les Dirigeants dans une démarche à 360°, reposant sur la mise en œuvre des bonnes pratiques et des méthodes éprouvées, adaptées à la taille et aux orientations stratégiques particulières. Cela permet à votre organisation de s’assurer que ses investissements informatiques contribuent bien à la création de valeur, d’accroître la performance des processus informatiques et de leur orientation client, et de garantir que les risques liés au système d’information sont sous contrôle.

 

Pour aller plus loin, nos DSI et consultants sont à votre disposition pour échanger.