Foto

Sécurité informatique dans l'entreprise

Pourquoi les mesures techniques seules ne suffisent pas à garantir la sécurité informatique de mon entreprise.

Les avantages de la numérisation, des technologies cloud, des portails en libre-service, des applications et autres sujets similaires sont sur toutes les lèvres. Mais si l'on s'intéresse de plus près aux entreprises qui se penchent concrètement sur ces projets, elles se heurtent non seulement à des obstacles et des pièges techniques, mais aussi et surtout à des questions ouvertes sur la sécurité informatique, à des prescriptions (trop) nombreuses et parfois peu claires et au "facteur
Homme".

Texte : Markus Meier Knuchel e3 AG, Adrian Blum, Privera, Martin Schor, e3 AG, images : tcbe.ch

"En tant que RSSI ou membre de la direction informatique, il m'incombe d'éviter ces écueils afin de garantir une utilisation sûre des sujets susmentionnés. Mais de quoi dois-je tenir compte exactement pour y parvenir ?"

D'après l'expérience des experts en sécurité d'e3, deux domaines doivent faire l'objet d'une attention particulière :

  • L'objectif : je dois d'abord définir - avec l'entreprise - ce que l'on attend de moi. Cela peut paraître trivial, mais c'est souvent négligé. Il est également important d'impliquer mes collaborateurs, car c'est la seule façon d'avoir ensuite une solution qui soit acceptée et utilisée.
  • Le facteur humain : je dois expliquer clairement à mes collaborateurs comment ils doivent utiliser les nouvelles technologies. Ce n'est qu'ainsi qu'ils respecteront les principes de la sécurité informatique et qu'ils contribueront à atteindre les objectifs de sécurité fixés. Les aspects techniques
    Les mesures peuvent être aussi bonnes que possible, mais sans l'aide de chaque collaborateur, la sécurité informatique de mon entreprise ne peut pas être garantie.

L'objectif

Qu'est-ce que je veux/peux/peux faire ? Qu'il s'agisse de déplacer des données ou des apps vers le cloud, de créer un portail en libre-service (eGov) ou d'introduire des dossiers clients numériques, je dois d'abord répondre à quelques questions fondamentales. Et il ne s'agit pas seulement de sécurité informatique, mais bien sûr avant tout de business. Cela semble logique, mais c'est là que le bât blesse.

  1. beaucoup de travail et
  2. la pierre angulaire de la réussite future

 

Si, sur ce point, je ne suis aveuglé que par les économies possibles ou les "quick wins" habituels et que je ne tiens pas compte des conditions-cadres et des exigences concrètes, j'aurai certes introduit une nouvelle technologie à la fin du projet, mais je n'en aurai pas tiré tous les bénéfices. En outre, il est important de clarifier d'abord si je dois éventuellement me poser à nouveau ces questions pour le projet suivant. Il peut être utile d'établir un document stratégique global sur lequel je pourrai revenir à chaque projet.

Élaboration d'une stratégie de lutte contre la pauvreté et l'exclusion socialeategie

Le point de départ de chaque thème est la propre stratégie : que veulent vraiment atteindre le business et l'IT ? S'agit-il d'économies, d'un meilleur service pour mes clients, d'une simplification des processus internes ou simplement de l'utilisation d'une nouvelle technologie "cool" ? Dans quelle mesure puis-je et suis-je prêt à céder le contrôle de l'infrastructure et des processus ? Quels risques suis-je prêt à prendre ? Comment le sujet s'intègre-t-il dans mon infrastructure et mes processus existants ? Quel degré de changement puis-je et veux-je imposer à mes collaborateurs ? Comment puis-je impliquer les collaborateurs dans le projet afin de tenir suffisamment compte de leurs exigences et, le cas échéant, de leurs craintes ?

Le cadre juridique, réglementaire et stratégique est tout aussi important. Qu'est-ce que j'ai le droit de faire ? Est-ce que je connais les bases légales qui s'appliquent à mon entreprise ? Existe-t-il des dispositions légales ou réglementaires auxquelles mon entreprise doit se conformer (p. ex. Finma, GDPR, HIPAA, ...) ? Existe-t-il des normes auxquelles mon entreprise doit se conformer (par ex. ISO27000, PCI-DSS, ...) ? Y a-t-il des directives stratégiques de mon entreprise qui doivent être appliquées (par ex. uniquement des fournisseurs dont les données sont conservées en Suisse) ?

Je dois répondre à ces questions et à d'autres - en collaboration avec le business - avant qu'il ne soit utile d'investir du temps et de l'argent dans des clarifications supplémentaires.

Le facteur humain

Afin de poursuivre la numérisation de sa propre entreprise et de profiter au maximum des nouvelles technologies, on utilise toutes sortes de systèmes de sécurité. L'objectif est toujours de protéger ses propres données et applications et d'empêcher les attaques des "méchants" (antivirus, pare-feu, mises à jour et correctifs automatiques, politiques de sécurité, authentification à deux facteurs, proxies web, systèmes de détection d'intrusion, segmentation du réseau, ...). Tous ces systèmes sont certainement utiles et importants, mais on oublie malheureusement souvent un aspect important : le facteur humain. Quelle que soit la qualité de ses propres systèmes de défense ou de contrôle, il y a toujours quelqu'un qui peut appuyer sur un bouton quelque part - volontairement ou par erreur - et le dommage est alors quand même là, malgré tous les systèmes de sécurité. C'est précisément là qu'interviennent les attaques qu'aucun système de sécurité ne peut empêcher. L'ingénierie sociale en est un exemple : il s'agit d'influencer et de manipuler une personne de manière ciblée dans le but de l'inciter à effectuer une action qu'elle ne veut ou ne doit pas vraiment faire.

Afin de traiter activement ce "risque humain", il convient de mener une campagne de formation et de sensibilisation pour que mes collaborateurs connaissent les systèmes utilisés, les dangers et le comportement adéquat. Je devrais faire de cette campagne de sensibilisation un processus continu afin de consolider ce qui a été transmis et de réagir aux changements (p. ex. nouveaux collaborateurs, nouveaux systèmes).

Objectifs d'une campagne de sensibilisation :

  • Les collaborateurs connaissent les dangers de l'informatique
  • Les collaborateurs sont conscients de leur rôle dans la prévention de ces risques.
  • Les collaborateurs connaissent les directives de l'entreprise (qui ne sont malheureusement souvent élaborées que lors de la préparation d'une campagne de sensibilisation).
  • Les collaborateurs savent comment réagir en cas de problème (p. ex. perte d'un ordinateur portable).
  • Les collaborateurs connaissent les trucs et astuces pour faire face aux dangers et les éviter.
  • Les questions en suspens ont été discutées et clarifiées

 

La sécurité informatique étant un sujet très vaste, il est important de donner à mes collaborateurs une vue d'ensemble du plus grand nombre possible de thèmes, sans entrer trop dans les détails. Tous les collaborateurs n'ont pas le même savoir-faire technique, je dois donc formuler les choses de manière digeste et très concrète. Chaque entreprise aura des priorités différentes. Ici aussi, il faut d'abord
définir mes propres priorités. Je dois également m'assurer que mes directives sont adaptées à l'infrastructure et aux processus existants. Par exemple, il ne sert à rien d'interdire l'utilisation de Dropbox et autres, mais de ne pas proposer aux collaborateurs une alternative (sécurisée) pour l'échange de données nécessaire à l'entreprise.

Un autre aspect dont je dois tenir compte : il est important de permettre aux collaborateurs d'accéder aux informations par différents canaux, car chacun est sensible à des stimuli et des médias différents. Outre la formation classique, il existe diverses possibilités : Sites intranet, vidéos, webinaires, e-learning, concours, affiches, give-aways, newsletters, sachets de sucre imprimés, bonbons et bien d'autres encore.

Je dois également clarifier la question d'un éventuel contrôle des résultats. Par exemple, une campagne de sensibilisation peut être lancée avec un test de phishing. Ce test peut être répété pendant ou après la campagne. Un concours avec des questions sur les dangers et
Une autre possibilité de vérifier si ce qui a été transmis est vraiment arrivé est de procéder correctement. Cela permet de clarifier dans quelle mesure la campagne a apporté une amélioration.

Et il ne faut pas sous-estimer cela : Le soutien de la direction est d'une grande valeur pour le thème de la sensibilisation. Si les chefs donnent le bon exemple, cela a un effet de signal très fort !

Rester à l'écoute

La même chose vaut pour les deux thèmes - la stratégie et le facteur humain : Rester dans le coup !

Je dois veiller à ce que le portefeuille de décisions stratégiques, de directives, de prescriptions et de réglementations de mon entreprise soit à jour. Je dois en outre actualiser en permanence mon catalogue de risques et l'adapter à l'évolution des conditions générales à l'intérieur et à l'extérieur de mon entreprise. Il ne s'agit pas d'un projet, mais d'un processus continu.

Il en va de même pour la formation et la sensibilisation des collaborateurs, l'awareness. Dans ce domaine aussi, je dois rester vigilant. Il faut ancrer les choses importantes dans la mémoire des collaborateurs, les rafraîchir régulièrement et maintenir l'intérêt pour la thématique. Là encore, un projet unique ne suffit pas, il faut un processus de sensibilisation continu.

e3 AG

La société e3 AG, basée à Zurich et à Berne, est elle-même un fabricant de systèmes de sécurité informatique (prévention des pertes de données, cryptage cloud) et un fournisseur de divers services dans le domaine de l'informatique (conseil stratégique, analyse commerciale, testing/QS et conseil en sécurité). Nous vous soutenons volontiers dans tous les domaines liés à la sécurité informatique et nous réjouissons de votre prise de contact !

 

 

 

Partager un article

Twitter Instagram Facebook-f Meetup Linkedin Youtube

Bulletin d'information

2024 Réseau Impact Numérique