François Thill (Cases) (Photo : Olivier Minaire)

François Thill (Cases) (Photo : Olivier Minaire)

Les entreprises doivent analyser leur exposition aux dangers pour réussir à déployer une politique de prévention des risques informatiques pertinente et performante. Reste à savoir comment.

La connexion généralisée a rendu les entreprises beaucoup plus exposées aux risques de piratage informatique. C’est un jeu permanent entre les responsables informatiques, qui cherchent à améliorer leur protection, et les hackers, qui cherchent à passer outre tous les murs. La question, pour de nombreuses structures, reste en fait de bien comprendre les risques auxquels elles sont exposées.

Pour soutenir cet effort, la communauté internationale a répondu à de nombreuses questions en matière de méthodologies sécuritaires, via la famille des normes ISO 2700x, qui les guide dans la gouvernance de sécurité. Le standard ISO/IEC 27001 définit, par exemple, un modèle servant à la mise en place d’un système de management de la sécurité de l’information. ISO/IEC 27002 définit, lui, un code de bonnes pratiques pour la gestion de la sécurité de l’information. Enfin, ISO/IEC 27005 propose un modèle d’analyse de risques.

Pour François Thill, du ministère de l’Économie et du Commerce extérieur, si toute entreprise peut recourir à ces standards, « leur mise en pratique est laborieuse et discriminatoire du point de vue de la complexité. Ainsi, chaque entreprise doit définir son approche spécifique, analyser ses propres risques et effectuer une veille des vulnérabilités et menaces, même émergentes. » D’où l’intérêt des apports méthodologiques de Cases, dont François Thill est responsable : « Sans les efforts de veille réalisés, il serait impossible pour une entreprise non spécialisée en la matière de suivre l’évolution quasi quotidienne des menaces et vulnérabilités. »

Quoi qu’il en soit, il est nécessaire d’améliorer continuellement son niveau de sécurité. « À côté de la mise en place de mesures organisationnelles et techniques, il ne faut pas oublier de prendre en compte le facteur humain. Il est recommandé de dispenser une formation visant à assurer un comportement adéquat. »

Approches spécifiques pour PME

C’est avec l’assistance des fournisseurs de sécurité luxembourgeois, de Cases et des résultats de veille de Circl (Computer Incident Response Center Luxembourg) que les entreprises peuvent faire face aux menaces liées à la société de l’information.

Il ne faut pas cependant tomber dans le piège de la sécurité totale : « C’est une illusion, il n’y aura jamais de système complexe infaillible. La menace parfaite n’existe pas non plus. » Une entreprise doit cependant se prémunir, en choisissant un fournisseur de sécurité de confiance, en formant son personnel et en s’organisant de façon efficace. « La convergence des trois facteurs rendra une attaque plus difficile à mener et de ce fait, amoindrira le risque, même en ce qui concerne les menaces émergentes. » Être conscient des limites ne signifie donc pas capituler, mais s’organiser et être capable de répondre aux trois niveaux, pour adopter la protection la plus efficace, adaptée à sa situation.

Même les PME peuvent avoir accès à ces démarches. « Des approches spécifiques pour PME ont été élaborées par Cases et le CRP Henri Tudor. L’approche intégrative de Smile, qui propose de réunir sur une même plate-forme les entreprises et leurs fournisseurs, tout en leur proposant des applications modernes d’analyse de risques et de politiques de sécurité, offre une réponse novatrice aux besoins de la gouvernance de la sécurité. » Cette plate-forme créera des effets de synergie considérables, en mutualisant les réponses fournies selon leur contexte.