#1 L’entreprise connaît des ruptures sociologiques et techniques
Clé de voute du système d’information (SI), l’infrastructure va constituer le socle de la politique de cybersécurité de l’entreprise. Le principal enjeu ? Établir une sécurisation globale et sans coutures de l’infrastructure, alors que celle-ci est constituée d’un assemblage d’éléments hétérogènes, proposés par une multitude de fournisseurs. Les solutions ?
- Auditer et tester l’ensemble des composants utilisés et écarter les constructeurs n’intégrant pas la sécurité à leurs produits. Pour cela, niveau de sécurisation acceptable doit au préalable être défini,
- cartographier l’infrastructure réseau et ses interconnexions pour identifier les vulnérabilités,
- mener des tests d’infiltration, notamment à l’aide de white hat, afin de recenser les équipements sensibles.
#2 Mettre en place des solutions adaptées aux métiers
Quels que soient la taille de l’entreprise et son secteur d’activité, la cybersécurité est une priorité qui doit néanmoins rester cohérente avec les risques et les besoins. Pour cela, l’entreprise doit tout d’abord évaluer et cartographier les risques et les conséquences d’une attaque éventuelle (interruption de l’activité, risque d’image, menace sur les données personnelles...). Des ressources pourront ensuite être affectées et des actions déployées là où des mesures sont nécessaires. Cette démarche doit englober toutes les activités, tous les métiers : les SI qui soutiennent les processus de gestion de l’entreprise comme l’informatique industrielle qui gère la chaîne de production doivent être concernés. L’objectif est double :
- formaliser une politique de sécurité efficace et adaptée,
- déployer des solutions pertinentes et adaptées aux métiers, mais aussi proportionnées aux risques et aux données à protéger.
#3 Exiger des mesures efficaces de ses fournisseurs
L’entreprise digitale fonctionne au cœur d’un écosystème étroitement connecté à ses partenaires et à ses fournisseurs. Pour éviter que le risque ne provienne de ses partenaires, elle doit exiger d’eux des choix et des actions garantissant un niveau de sécurité au moins équivalent à celui qu’elle a déployé en interne. Cette exigence peut aller jusqu’à conditionner l’achat de produits ou services à la détention de labels, tels que la certification ISO 27001 ou ceux décernés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Garantie pour l’entreprise et ses clients, cette exigence devrait se répandre rapidement. En effet, dès mai 2018, une nouvelle réglementation européenne, la GDPR (General Data Protection Regulation), rendra l’entreprise responsable de la sécurité informatique de ses sous-traitants dans le cadre de l’exploitation de données personnelles. À ces derniers donc de « prouver » les actions déployées et le niveau de sécurité atteint par un label reconnu.
#4 Constituer des communautés
La cybersécurité doit progresser grâce aux échanges d’information et d’expérience, dans le cadre d’une coopération avec différents acteurs de l’écosystème de l’entreprise. Tout d’abord, les organisations officielles liées aux enjeux de la cybersécurité, comme l’ANSSI, l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication), ou les entités de recherche sur la sécurité d’autres entreprises travaillant dans le même secteur d’activité… La Fevad (Fédération du e-commerce et de la vente à distance) a ainsi publié un rapport sur les enjeux de la cyber-sécurité dans le secteur du e-commerce. L’entreprise, lorsqu’elle établit ainsi ses communautés, doit attacher une attention toute particulière au choix de son opérateur. Celui-ci doit avoir une vision – et une stratégie – de la cybersécurité qui soit globale !
#5 Sensibiliser les collaborateurs à la sécurité
La cybersécurité est l’affaire de tous les utilisateurs… et il n’est pas rare que la faille vienne de ces derniers, par manque d’information. La seule solution : faire de ses collaborateurs sa première ligne de défense. Pour cela, il s’agit de les sensibiliser en permanence aux risques encourus. Un incontournable pour éviter une baisse de vigilance et limiter les comportements à risque, alors que de nouvelles vulnérabilités apparaissent régulièrement. L’entreprise doit donc mettre en place une veille cybersécurité destinée à sa DSI, et dispenser des formations et communications régulières auprès de l’ensemble des collaborateurs. Ces actions, menées régulièrement, permettront d’éviter les risques liés aux nouveaux arrivants.
Pour aller plus loin
>> Tous concernés par la cybersécurité