Security assessment : la base d’une politique de sécurité équilibrée
Publié le 24/09/2021 dans Solutions à la une
Il est recommandé de s’attarder régulièrement sur les éléments essentiels de votre organisation et d’identifier les risques pour la sécurité. Comment s’y prendre ? Une évaluation de sécurité forme la base d’une sécurité IT efficace.
Il semble évident qu’une organisation sache quels sont ses principaux processus et en quoi consiste son core business. Cependant, à l’heure où la transformation digitale avance à grands pas, il se peut que les accents se déplacent, que les priorités changent et que certains groupes de clients se révèlent plus intéressants. C’est pourquoi il est bon de s’attarder régulièrement sur les éléments essentiels de votre organisation et de vos services, ce qui vous permettra ensuite d’identifier les risques pour la sécurité. En effet, ces risques peuvent également changer et évoluer au rythme des progrès de votre organisation.
Pour garantir la sécurité IT, il est conseillé d’identifier les principaux processus, applications, flux d’informations et de les assortir de mesures de gestion appropriées. Une évaluation de sécurité fournit un aperçu des éléments essentiels pour la sécurité et vous permet de contrôler et d’améliorer l’efficacité des investissements. L’évaluation est le fondement d’une sécurité IT efficace.
Fixer des priorités dans la sécurité
L’idéal est de commencer par déterminer les processus primaires de l’entreprise. Quels processus donnent à votre organisation une raison d’être ? Examinez les processus que vous développez et fournissez, les services que vous proposez, les clients ou groupes de clients qui génèrent le plus de valeur, les applications de l’entreprise qui soutiennent les processus primaires et les informations qui sont incontournables dans ce cadre.
Réfléchissez aux conséquences que pourrait avoir une intrusion dans une base de données primaire. Que se passerait-il si vous étiez déconnecté une journée entière ou si vous faisiez la une des journaux parce que des données ont fuité ? Qu’adviendrait-il si des criminels s’emparaient de votre propriété intellectuelle ? Quels seraient les dégâts ? En calculant la probabilité d’occurrence multipliée par l’ampleur de l’impact, vous pouvez établir une sorte de classement des risques et les hiérarchiser.
Besoin d’un aperçu direct du statut de la sécurité IT ? Procédez au Security Maturity Quick Scan. En répondant à 12 questions seulement, vous obtiendrez un aperçu du niveau de votre sécurité ainsi qu’un rapport personnel.
Détecter les faiblesses de l’architecture IT
Il s’agit ensuite d’établir un lien avec l’environnement IT. À ce jour, tous les processus de l’entreprise sont liés à une quelconque forme de soutien IT. À l’aide de la liste des risques business préalablement établie, examinez l’architecture IT et déterminez quels composants informatiques s’accompagnent de risques dont l’impact serait significatif.
Pensez au réseau en tout ou en partie, aux applications business (CRM ou ERP) ou à un environnement de production doté de solutions IoT et fournissant des données des capteurs. L’intégration d’un logiciel dans le réseau peut constituer une solution dans ce contexte et permettre de contrôler et d’enregistrer le trafic réseau. Elle permet d’exposer automatiquement les risques et les faiblesses et de rassembler des preuves techniques pour soutenir un cadre théorique.
Définir les mesures de sécurité
Vous disposez désormais d’un aperçu clair de l’impact que pourraient avoir sur le business des menaces pour la cybersécurité. Celles-ci sont liées aux faiblesses de l’environnement IT. L’étape suivante de l’évaluation consiste à déterminer quelles mesures de sécurité ont déjà été prises pour écarter le danger et à établir si celles-ci sont toujours suffisantes.
L’inverse est également possible, évidemment ; il se peut que de grands moyens aient été déployés pour protéger une base de données et un serveur tombés en désuétude. En bref, vous déterminez si les mesures de sécurité que vous avez prises sont toujours adaptées à l’impact des risques que vous avez réévalué.
Il est très probable que plusieurs éléments soient déséquilibrés et qu’il convienne d’y remédier. Les résultats de cette évaluation vous fournissent une base solide pour défendre de nouveaux investissements en matière de sécurité. Les résultats de l’analyse du trafic réseau y contribuent fortement ; ils indiquent noir sur blanc où résident les faiblesses.
De l’évaluation de sécurité à la feuille de route
Tout bien considéré, l'évaluation de sécurité fournit un bon business case. Vous confrontez les investissements aux risques que vous écartez. L’évaluation constitue une base remarquable pour jalonner la feuille de route en matière de sécurité. La feuille de route vous aidera à élaborer une stratégie à long terme. Donc plus de décisions hâtives, mais une vue d’ensemble claire avec des solutions ciblées.
La liste des priorités en constitue un élément essentiel. Lorsqu’un processus de l’entreprise est menacé en raison d’une faille de sécurité, vous évaluez les coûts de l’impact. Ces constats sont dressés sur la base des interviews et de l’analyse technique. Vous confrontez ces menaces à une liste de menaces très récurrentes dans le monde de la sécurité informatique, comme le fait la méthode de l’analyse des risques en matière de sécurité de l’information. En mettant en relation le RISQUE qu’un incident se produise à un IMPACT, vous obtenez une liste des RISQUES.
Dans quelle mesure vos systèmes seront affectés dans le cas où ils seraient paralysés ? Quels sont les coûts encourus lorsque des hackers malveillants mettent la main sur certaines données ? Quelle est la mesure du préjudice sur votre organisation ? Cette méthode permet de prendre les mesures appropriées pour éviter les menaces.
Ces mesures peuvent être de nature tant organisationnelle que technique. Lorsque des mesures couvrent plusieurs menaces et risques, placez-les en haut de la liste. Ce faisant, vous pourrez aussi tenir compte du budget disponible et du niveau d’ambition de votre organisation. C’est ainsi que naît une feuille de route en matière de sécurité appropriée.
Une feuille de route en matière de sécurité, un point de repère
Une fois la feuille de route en poche, vous pouvez élaborer une stratégie saine en matière de sécurité. Les faiblesses de l’organisation sont clairement identifiées, ce qui assure la faisabilité du plan. Si cette stratégie aide l’équipe IT, elle permet aussi de sensibiliser les collaborateurs et les décideurs. La feuille de route fournit des directives claires à vos collaborateurs et vous permet d’élaborer une politique de sécurité en béton.
Une faille dans la sécurité de votre organisation pouvant coûter très cher, vous disposez des bons arguments pour libérer du budget en vue de trouver une solution. Une situation win-win pour chaque niveau de l’organisation.
Des questions sur la sécurité au sein de votre organisation ? Parlez-en avec l’un de nos experts.
Telindus Paybs-Bas est un Proximus Accelerator et spécialiste de la construction et la gestion de plateformes IT. Telindus soutient les entreprises dans la réalisation de leurs objectifs par une utilisation efficace de services dans les domaines du cloud, des données & de l’IA, du networking et de la sécurité. Une plateforme IT doit être un fondement sûr, innovant et fiable de l’entreprise permettant de réagir rapidement à la pression continue exercée par l’entreprise elle-même et par le marché.
One
Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME.