/image%2F0558664%2F20170126%2Fob_96f82b_cybersecurite.png)
/image%2F0558664%2F20170129%2Fob_c07557_overblog-cybersecurite-couverture.jpg "L'actualité est une bonne source pour informer et sensibiliser aux dangers d'Internet.
Ce blog décrypte l'info pour amener les internautes à prendre conscience des risques pour ses données et pour sa vie privée.")
Invite : Comment assurer la sécurité de son SI
Publié le 24 Juillet 2013
La Sécurité du Système d'Information (SSI) est un enjeu stratégique qui implique l'organisation de manière transverse sur des données critiques. Sa gestion est confiée de manière coordonnée entre la direction de gestion des risques (DGR), la DSI et le Responsable de la Sécurité Informatique (RSI).
Nous aborderons dans cet article l’analyse des risques, la mise en place des mesures de sécurité, la sensibilisation de l’entreprise aux risques informatiques et le plan d’action et de pilotage, qui constituent les étapes essentielles pour gérer la sécurité de son système d’information.
L’analyse des risques
Pour identifier le besoin en termes de sécurité informatique, il est nécessaire d’effectuer une analyse des risques informatique. Cette tâche incombe à la DGR (direction des risques) et elle implique la réalisation d’une cartographie effectuant une typologie des types de risques et leurs différents niveaux d’impact.
Une potentialité est alors calculée à partir de la menace (évènement), de sa probabilité d'occurrence et de la vulnérabilité du système (faille) tandis que les différents impacts sont étudiés (financiers, juridiques, marketing). Les pannes d'origine interne (coupures d'électricité par exemple) et erreurs utilisateurs sont parmi les plus courantes. L'analyse des risques contribue ainsi à définir les enjeux, dimensionner le plan d'actions et mobiliser les parties prenantes.
Plan d'actions et pilotage
En collaboration avec la DSI, le RSI doit établir un plan d'actions reprenant l'ensemble des phases traitant de la gestion de la SSI. Ce plan d'actions traite également de :
- l'évaluation de la difficulté de mise en place d'un dispositif de SSI
- la délimitation du périmètre de responsabilité des différentes directions
- la définition et la validation des priorités
- les moyens de mobilisation et l'allocation des ressources
- les prévisions budgétaires
- le dispositif de pilotage : tableau de bord et indicateurs (nombre d'attaques, nombre d'interventions, temps moyen de résolution, coûts d'opportunité, coûts des audits, analyse des écarts de contribution du nouveau système par rapport à l'ancien...)
La mise en place des mesures de sécurité
Sur le plan technique, les principales mesures de sécurité sont mises en place par le Responsable de la Sécurité Informatique :
- la sécurisation du réseau, avec la mise en place d'une configuration et d'une infrastructure matérielle et logicielle sécurisant les flux entrants et sortants : pare-feu, VPN (Virtual Private Network), SSO (Single Sign On), filtrage de ports niveau routeur, paramétrage sécurisé de messagerie.
- la sécurisation du système : logiciels anti-virus et anti-spywares, filtres anti-phishing de navigateur internet, restrictions internes d'accès aux données et aux copies par utilisateur.
- les back-up : sauvegarde totale suivie de sauvegardes incrémentales (entre un moment T ou T+1 et le moment de la sauvegarde totale) ou différentielles (entre un moment T + 1 et T). L'avantage d'une sauvegarde incrémentale réside dans sa compacité tandis que celui de la sauvegarde différentielle relève de sa rapidité.
- l'élaboration d'un PRA (Plan de Reprise d'Activité) : restitution rapide et opérationnelle des données du dernier back-up.
- une veille technique et légale : mises à jour logicielles, nettoyage de fichiers temporaires, nettoyage de la base de registre, veille réglementaire (loi Hadopi par ex.)
La sensibilisation
Enfin, sur le plan fonctionnel, le Responsable de la Sécurité Informatique se devra également de sensibiliser continuellement les différents métiers aux enjeux de la SSI. Des actions de formation peuvent être menées en collaboration avec la DRH. Des audits (internes et externes) sont conduits par la Direction Qualité. Les audits sont menés avec une approche normative (ISO-27001 et ISO-27002) comprenant des questionnaires, des mises en situation (exercices de sécurité), des tests et des recommandations. L'audit interne est continuel tandis que l'audit externe est ponctuel et complémentaire en termes d'expertise. Enfin, la DGR met en place un PCA (Plan de Continuité de l'Activité) permettant par exemple le repli physique sur un site de secours en cas de panne générale.
Ainsi, la sécurité du SI implique plusieurs instances de l’entreprise, DSI et responsable de la sécurité informatique bien entendu, mais également la direction des risques, ou encore, les pôles métiers de l’entreprise. La mise en place de la SSI nécessite des audits et une analyse des besoins, mais également une planification et une organisation méticuleuse. Du côté technique, on remarquera la nécessité d’actions de contrôle, mais également, de prévention, de sauvegardes et de veille. Enfin, le point commun de toutes ces actions reste la fréquence et la régularité continuelle avec laquelle toutes ces actions doivent être effectuées.
Merci à Nathalie Gonzalves et Jérôme Chapeau, de la société Ivision, pour la rédaction de cet article.