Nous vivons dans un monde où les cyberattaques sont devenues la norme. Les cybermenaces sont de plus en plus complexes et évoluent de manière constante, ce qui place la barre toujours plus haut sur le plan de la cybersécurité.
Pour qu’une organisation soit en mesure de faire face aux cybermenaces et à l’intensification de la réglementation en matière de protection des données et de sécurisation des systèmes d’information, elle doit mettre en place un programme de sécurité reposant sur des bases solides, et dont les principaux axes sont les suivants:
Stratégie, gestion et risques
Des incidents comme l’attaque du ransomware WannaCry nous rappellent que les cybermenaces évoluent constamment. La cybersécurité nécessite une mentalité d’amélioration continue et un effort conscient visant à assurer que des contrôles de cybersécurité adéquats sont en place pour gérer les principales menaces qui planent sur l’organisation.
Une cyberstratégie solide signifie que l’organisation peut efficacement évaluer et comprendre les risques auxquels elle fait face, et qu’elle a mis en place un plan d’action concret en vue de mettre en œuvre les mesures nécessaires pour assurer sa protection. Afin de s’assurer une couverture complète du système d’information par les différentes mesures de sécurité, il est impératif pour l’organisation de disposer d’un inventaire exhaustif des actifs informationnels.
Les politiques et procédures de l’organisation ‘opérationnalisent’ sa cyberstratégie.
Stéphane Hurtaud, Partner – Cyber risk services leader (Deloitte)
Politiques et procédures
Les politiques et procédures de l’organisation «opérationnalisent» sa cyberstratégie. Par exemple, elles définissent les rôles et les responsabilités des différents intervenants en cas d’incidents de cybersécurité importants, ainsi que les étapes requises pour gérer la situation et limiter les dommages. Les organisations les mieux sécurisées répéteront périodiquement leurs procédures de réponse et mettront en place des plans d’intervention en cas d’incident afin d’assurer une réaction concertée à différents types d’incident.
Un choix adapté aux moyens de défense techniques
Les moyens de défense techniques et autres mesures de protection constituent souvent la première ligne de défense d’une organisation contre les cybermenaces. De nombreuses solutions techniques peuvent être mises à profit pour protéger l’organisation contre les menaces, qu’il s’agisse de pare-feu ou d’une protection de base contre les logiciels malveillants, ou de solutions pointues permettant de repérer et de contrer les attaques provenant de l’intérieur.
Quelles que soient les solutions retenues, l’organisation doit bien comprendre les cybermenaces auxquelles elle fait face.
Quelles que soient les solutions retenues, l’organisation doit bien comprendre les cybermenaces auxquelles elle fait face afin de déterminer les investissements les plus efficaces. Par ailleurs, l’organisation doit constamment revoir ses défenses techniques afin de veiller à ce qu’elles demeurent pertinentes au fil de l’évolution des menaces.
Surveillance et connaissance de la situation
Toutes les organisations doivent atteindre un équilibre entre leurs contrôles de sécurité destinés à la protection et à la détection. Dans l’éventualité où une attaque parvient à pénétrer le réseau, les capacités de détection de l’organisation entrent en jeu afin d’établir comment l’attaquant est parvenu à ses fins et quels actifs ont été touchés. Ce n’est qu’au moyen d’une surveillance efficace et d’une bonne connaissance de la situation que l’organisation pourra entreprendre des procédures de réponse en vue de limiter les dégâts.
Sécurité des fournisseurs
La plupart des organisations font appel à des fournisseurs externes et doivent souvent établir un partenariat étroit avec ces fournisseurs, ce qui les expose à des cybermenaces supplémentaires. Par exemple, une organisation qui fait l’acquisition de logiciels auprès d’un fournisseur externe compte sur l’efficacité des contrôles de sécurité du fournisseur pour détecter les codes malveillants.
Le fait de comprendre le rôle des fournisseurs externes au sein de l’écosystème de cybersécurité de l’organisation permet à cette dernière d’appliquer les contrôles techniques et contractuels appropriés afin de limiter son exposition.
Aussi efficaces soient-elles, les mesures techniques ne suffisent pas.
Sensibilisation des employés
Aussi efficaces soient-elles, les mesures techniques ne suffisent pas, et les employés continueront de jouer un rôle important pour assurer votre cybersécurité. Lorsqu’un employé reçoit un e-mail d’un expéditeur inconnu comportant une pièce jointe suspecte, sa décision d’ouvrir la pièce jointe ou de la supprimer, puis de signaler l’e-mail, pourrait faire la différence entre le cours normal des activités et un important incident de cybersécurité.
La formation et la sensibilisation sont des éléments importants à la mise en place d’une culture de cyberrisques appropriée qui favorise l’adoption des bons comportements.
Le tout cadré par une gouvernance adaptée
Enfin, l’ensemble de ces dispositifs doit bien entendu être encadré par une gouvernance cyber, ce qui sous-tend une transformation de l’organisation aux problèmes de sécurité qui peuvent jaillir.
