L’adage est maintenant bien connu : pas de croissance digitale sans confiance. Cependant, la cybersécurité est trop souvent prise sous le seul angle technologique, alors que l’essentiel est ailleurs.

Safe Harbor retoqué, cyberattaques contre HSBC, Target ou les infrastructures électriques israéliennes : devant l’ampleur et la réalité des menaces, les praticiens de la cybersécurité au sein des DSI disposent d’une fenêtre de tir pour démontrer à leurs donneurs d’ordre qu’elle est bien plus qu’une problématique technologique.

 

Une stratégie de cybersécurité systémique

Il est primordial de définir une stratégie partagée, prenant en compte l’ensemble des dimensions de la sécurité de l’information (Confidentialité, Intégrité, Disponibilité) sur toute la chaîne de valeur de l’entreprise (processus opérationnels et de support de toutes les BU). L’accent doit être mis sur l’évaluation quantitative et financière des risques encourus, souvent dissuasive quand il s’agit de débloquer les budgets nécessaires.

Une identification des actifs critiques (« bijoux de la couronne » dont la compromission peut être fatale à l’entreprise) doit être réalisée, en mobilisant toutes les parties prenantes concernées : direction générale, directions métiers et DSI. CNIL et Safe Harbor obligent, un focus sur les données à caractère personnel et les obligations réglementaires est nécessaire, en se rappelant que les amendes peuvent atteindre 4% du chiffre d’affaires annuel en cas de manquement (Projet de loi République Numérique).

 

Une présence sur tout le cycle de vie SI

La cybersécurité ne doit pas être la cinquième roue du carrosse des projets SI. Dès l’amont de toute réflexion, le RSSI doit être sollicité sur l’architecture applicative/technique, le choix de technologie, de prestataire, les pratiques projet (développement, environnements), les modalités de traitement et d’hébergement des données.

La réalisation de tests complets doit être anticipée dès le cadrage : charge, résistance, intrusion, fuite de données…Il en va de même pour les procédures à déployer en mode récurrent : accès et habilitations, gestion des incidents, PRA/PCA, veille et communication de crise. Les directions juridique, financière et achat doivent être impliquées afin de garantir la cohérence et l’adéquation des mesures prises.

 

Une architecture SI maximisant la sécurité

Les modalités de construction du SI doivent avoir pour objectif une sécurité maximale, qu’il s’agisse de l’architecture applicative ou technique, ne détériorant pas pour autant l’expérience client. Ainsi l’authentification doit faire l’objet d’une attention particulière au moyen d’un module IAM (Identity & Access Management) / SSO (Single Sign On) alliant sûreté et fluidité des parcours clients. La sécurisation des paiements doit recourir avec parcimonie au 3-D Secure, répulsif pour les internautes lambda.

Les données doivent être cloisonnées, par une séparation claire des environnements Front-Office / Back-Office d’une part et développement / intégration / recette / pré-production / production d’autre part. La disponibilité des actifs digitaux, capitale pour l’expérience client et la génération de chiffre d’affaires, passe par une architecture redondée permettant de tenir les charges importantes mais aussi une protection DDoS afin de prévenir les actes de malveillance.

Le pilotage du SI en production doit s’appuyer sur des outils adaptés à la détection et la réponse aux cybermenaces : sondes de monitoring, supervision… Mais attention à garder une certaine flexibilité dans le dimensionnement, car maintenir toute l’année une infrastructure capable de tenir le Black Friday peut s’avérer plus dispendieux qu’une interruption de service de quelques minutes.

 

Une diffusion dans l’ensemble de l’organisation

Plus fondamentalement, la cybersécurité doit infuser dans l’ensemble de l’organisation. Elle doit être intégrée au référentiel de compétences, à la fois sur la conduite de projet et la gestion du récurrent. L’évangélisation doit être régulière, au travers de retours d’expérience, d’établissement de ponts entre opérationnels / DSI / juridique / finance / achats, de la nomination de champions locaux garants des bonnes pratiques.
La politique de cybersécurité doit être formalisée, de même que sa gouvernance. Un cadre global de pratiques, couvrant l’ensemble du cycle Identification / Protection / Détection / Réponse, doit être le socle de l’amélioration continue, au moyen d’audits fréquents permettant de positionner l’entreprise sur une échelle de maturité.

FavoriteLoadingAjouter à mes favoris

3 Responses

  1. PAZOS

    Je suis tout à fait d’accord avec vous sur l’intérêt d’une approche systémique et non uniquement techno-centrée. Le besoin d’une « évangélisation régulière » dont vous parlez me semble tout à fait fondamental car aucun protocole technique ne pourra jamais compenser les failles de l’ingénierie sociale.

    Dans les années 90, le pirate informatique Kevin MITNICK avait marqué le monde de la sécurité informatique par la mise en place de techniques de haut niveau (Man In The Middle par exemple) et son incroyable capacité à se renseigner sur une organisation et à obtenir des informations confidentielles en utilisant les « failles humaines » d’un système d’information comme « effet de levier », pour briser ses barrières de sécurité.

    La technique peut désormais empêcher une attaque MITM, mais elle ne peut toujours rien contre le manque de sensibilisation à la SSI.

    Répondre
  2. Cybersécurité, pas seulement une ...

    […] L’adage est maintenant bien connu : pas de croissance digitale sans confiance. Cependant, la cybersécurité est trop souvent prise sous le seul angle technologique, alors que l’essentiel est ailleurs.Safe Harbor retoqué, cyberattaques contre HSBC, Target ou les infrastructures électriques israéliennes : devant l’ampleur et la réalité des menaces, les praticiens de la cybersécurité au sein des DSI disposent d’une fenêtre de tir pour démontrer à leurs donneurs d’ordre qu’elle est bien plus qu’une problématique technologique.  […]

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.