Secu

SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030

Par La rédaction, publié le 28 mars 2023

Fondamentalement, la cybersécurité est la réponse à un risque. À ce titre, c’est à la direction de la piloter. Il lui faudra toutefois être bien entourée, afin de saisir toutes les implications métiers liées aux menaces sur un numérique qui perfuse désormais l’entreprise et son business.

La cybersécurité couvre un ensemble de techniques et de pratiques visant à réduire les risques numériques. Ces risques, l’entreprise se doit de les identifier, de les qualifier, d’évaluer la probabilité et l’impact de chacun, puis de décider des actions à mener. Prenons le cas du courrier électronique, voie privilégiée des pirates pour extorquer des identifiants ou diffuser des malwares. C’est à la direction de prendre la mesure de ces risques, de décider de la meilleure option à appliquer – éviter, réduire, transférer ou accepter (voir encadré ci dessous) –, puis d’affecter les ressources, financières comme humaines, permettant de concrétiser ses choix. Le comité exécutif est donc l’organe d’où doivent partir toutes les décisions concernant la réduction du risque numérique, car il en connaît les implications métiers. Toutefois, il pourrait ne pas prendre toute la mesure de ces implications s’il prend conseil auprès d’experts au langage trop technique. Face à une complexité qui le dépasse, il pourrait alors décider de déléguer cette problématique à la DSI, qui sera plus à l’aise avec les aspects techniques… mais pourrait passer à côté des implications métiers. À ce titre, le RSSI se doit de faire le lien entre les aspects métiers et techniques du risque numérique. Pour être efficace, il doit avoir une position qui lui permet de remplir parfaitement ce rôle. « Nous militons pour qu’il ait une place au Comex, afin qu’il puisse pleinement s’exprimer et développer ses idées… mais aussi apporter un regard “conseil” sur chaque projet de transformation numérique », explique Michael Bittan, directeur exécutif d’Accenture Security France.

Sécuriser également  ses projets de transformation

« Pour chaque projet de transformation, nous réfléchissons avec le client aux risques numériques. Lorsque vous adoptez un nouvel ERP, il faut penser à la gestion des correctifs de sécurité, par exemple. Et dans le cadre d’un ERP cloud, il faudra aussi penser aux interconnexions avec d’autres éléments du SI, hébergés sur site ou dans d’autres clouds. Enfin, sur ces infrastructures multi-cloud hybrides, il faudra traiter la problématique de la gestion des identités. Un des gros chantiers des entreprises dans les années à venir. » Sécuriser les projets de transformation numérique reste complexe, car cela nécessite de faire appel à de nombreux métiers. « Il faut des compétences d’intégration, bien entendu, mais aussi en cybersécurité offensive. Il faut également mettre en place un service dédié à la gestion des vulnérabilités, un SOC, voire de la cyber threat intelligence. Des compétences dont l’entreprise ne dispose pas forcément en interne. » Dossier réalisé par DAVID FEUGEY

Sommaire

ACTION 1 – Bien positionner le RSSI dans l’organisation

Le responsable de la sécurité des systèmes d’information est un acteur essentiel dans l’entreprise pour structurer les efforts en matière de réduction du risque numérique. À condition de recruter la bonne personne et de la positionner au bon endroit de l’organigramme. LIRE LA SUITE

ACTION 2 – Prendre en compte le risque de sécurité IT avec méthode

Identifier les risques de sécurité, leur probabilité de réalisation et leur impact financier potentiel est essentiel afin de définir une feuille de route dédiée à la cybersécurité, en y affectant les ressources nécessaires. Plusieurs méthodes, dont une française, sont largement utilisées. LIRE LA SUITE

ACTION 3 – Se reposer sur un SOC… externalisé

Un SOC interne reste un luxe que seules les grandes entreprises peuvent se payer. Ainsi, lorsqu’il est question de SOC et de SIEM, neuf entreprises sur dix optent pour l’externalisation, en recourant à des services devenant de plus en plus accessibles. LIRE LA SUITE

ACTION 4 – Former les utilisateurs pour forger une première ligne de défense

Bien formés, les utilisateurs peuvent devenir un maillon fort de la sécurité, capable de détecter des comportements anormaux et d’alerter le RSSI en cas de doute, ou suite à une manipulation ayant pu avoir un impact sur le bon fonctionnement du SI. LIRE LA SUITE

ACTION 5 – Pratiquer une sécurité plus offensive avec une red team

Le principe d’une sécurité offensive est simple : il est préférable que ce soit une red team qui trouve une faille dans votre SI, plutôt que des cybercriminels. Une red team participera également à une diffusion plus rapide des bonnes pratiques de cybersécurité au sein des équipes métiers. LIRE LA SUITE

ACTION 6 – Anticiper le jour J en préparant une cellule de crise

En cas d’attaque informatique, une course s’engage. Il faut tout d’abord stopper l’attaque,
puis assurer un retour à la normale. Préparer ces actions en amont et aiguiser ses réflexes
passe par la mise en place d’une cellule de crise cyber. LIRE LA SUITE

Quatre stratégies face aux risques d’attaque par le vecteur de la messagerie

1. ÉVITEMENT

Lorsqu’en 2011, le PDG d’Atos avait prédit la fin du mail dans son organisation, l’ESN avait peut-être trouvé la parade ultime au phishing. Elle fera toutefois machine arrière quelques années plus tard.

2. RÉDUCTION

L’entreprise met en place un outil de filtrage des courriers indésirables ou malveillants, un antivirus sur chaque poste et, bien entendu, forme ses collaborateurs aux risques liés à l’utilisation de l’e-mail.

3. TRANSFERT

L’entreprise confie la gestion de sa messagerie à un tiers, qui se charge de la sécuriser et de former les utilisateurs aux dangers liés à son emploi.

4. ACCEPTATION

Un boulanger, dont la boîte aux lettres est un webmail d’opérateur consulté depuis un PC ne contenant aucune donnée sensible, n’a rien à craindre d’une attaque informatique.

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights