Avec l’explosion du nombre d’attaques cybercriminelles subies par les organisations, la question n’est plus de se demander si l’on subira une attaque informatique, mais quand et comment s’y préparer ? Les systèmes d’information sont devenus critiques pour le business des PME & ETI et la sécurité informatique, face à de telles menaces, est autant un enjeu de sûreté que de compétitivité.
Découvrez comment organiser la sécurité informatique en PME ou ETI, à l’aide d’une DSI bien structurée et accompagnée.
La sécurité informatique, qu’est-ce que c’est ?
Pilier incontournable de la stratégie des entreprises, la sécurité informatique a pour but de protéger l’intégrité des technologies de l’information, à savoir les systèmes, les réseaux et les données informatiques.
Cette protection s’applique à la fois contre les attaques extérieures, les dommages occasionnés et les accès non autorisés, tout comme les erreurs et les malveillances internes. En effet, la cause interne, du fait des salariés mêmes de l’entreprise ou de prestataires, dans un objectif de nuire ou par la simple méconnaissance des règles, ne doit pas être négligée dans le facteur de risque pour la sécurité informatique.
Au-delà de préserver les systèmes IT d’attaques malveillantes ou d’erreurs humaines, la sécurité informatique vise 5 enjeux majeurs :
- L’intégrité des données, des réseaux et des systèmes dans leur fonctionnement ; La disponibilité du système d’information de l’entreprise en interne et pour les clients ;
- La confidentialité des données et des systèmes, afin qu’ils ne soient accessibles qu’aux personnes autorisées ;
- La non-répudiation des processus et des transactions, qui ne peuvent ainsi pas être niées dans leur existence ;
- L’authentification des personnes autorisées pour éviter l’usurpation de leur identité.
Dans un monde où les usages numériques concernent désormais toutes les activités du quotidien, les entreprises doivent veiller à adapter les process permettant de garantir l’intégrité de leurs systèmes d’information, il s’agit d’un véritable enjeu de compétitivité.
Ces usages numériques généralisés restent un défi pour les organisations, dans leurs procédures internes comme dans leur relation à leurs clients ou bénéficiaires. Cela fait des systèmes d’information, toujours plus connectés, complexes et interdépendants, un vivier de ressources inestimables, d’un point de vue financier, stratégique et même politique.
La sécurité informatique, des risques en augmentation.
Avec une croissance exponentielle des attaques extérieures et des risques internes (panne, erreur humaine ou malveillance), jamais un si haut niveau de risque n’a pesé sur la sécurité des systèmes d’information des entreprises.
Cause et conséquence du phénomène de pénétration du digital dans tous les aspects de la vie sociale et économique, les attaques malveillantes et les techniques des acteurs de ces attaques ne cesse d’augmenter. C’est ce que relève l’ANSSI (l’Agence Nationale pour la Sécurité des Systèmes d’Information) qui constate une évolution de +37 % entre 2020 et 2021 du nombre d’intrusions avérées dans les systèmes d’information.
Cette analyse de l’ANSSI révèle ainsi que le sujet de la cybersécurité est désormais un des premiers risques IT que les entreprises et organisations doivent prévoir dans leur plan de prévention des risques.
La finalité des cyberattaques est dorénavant plurielle : à l’appât de gains financiers et des attaques purement lucratives s’ajoutent les tentatives d’espionnage, de déstabilisation (d’un système politique ou économique) et de sabotage. Les organisations et activités critiques ne cessent d’être la cible de modes d’attaques toujours plus astucieux pour contourner les mesures de protection mises en place. En effet, l’ANSSI relève que la spécialisation et la professionnalisation des auteurs d’attaque cybercriminel se sont accrues, grâce aux gains financiers obtenus par de précédentes attaques. C’est, selon l’agence, un « véritable écosystème cybercriminel aux ressources considérables qui s’est progressivement constitué et perfectionné, permettant de conduire des attaques toujours plus sophistiquées ».
Enfin, la recrudescence du risque d’attaques et de défaillances conséquentes de la sécurité informatique est aussi permise par des failles toujours mieux exploitées. L’usage du cloud, la divulgation de données, la fragilité des chaînes d’approvisionnement, l’absence de procédure de contrôle interne, voire de la bonne formation du personnel aux usages et mesures de prudence élémentaires, sont autant de failles utilisées pour entrer plus facilement dans les systèmes d’information.
La DSI, pierre angulaire de prévention des risques IT.
Dans l’entreprise, la sécurité informatique repose ainsi sur l’analyse de risques spécifiques à ces 5 enjeux (intégrité, disponibilité, confidentialité, non-répudiation et authentification) sur l’ensemble des systèmes d’information. Malgré toutes les mesures prises, par l’entreprise ou la DSI, la question n’est plus de savoir si la sécurité informatique sera mise en jeu, mais d’anticiper quand et comment ?
Il est donc indispensable d’élaborer un plan de prévention des risques pour définir le système de détection. Il est également nécessaire d’adopter des solutions de sécurité dès la phase de conception des systèmes d’information propres à l’entreprise : choix des outils, prestataires, systèmes et infrastructures.
Qu’elle soit intégrée en amont de la conception ou l’actualisation des systèmes d’information de l’entreprise, ou pas, le plan d’action de la sécurisation et du pilotage de la sécurité des SI reposes sur 5 étapes :
- Analyser les risques propres à la sécurité informatique (et le rapport entre survenance et impact de chacun de ces risques).
- Définir une politique de sécurité informatique pour retarder et/ou empêcher la survenance, mais aussi réduire les impacts possibles de ces risques.
- Mettre en œuvre concrètement cette politique dans les différents processus et procédures de l’entreprise : formation du personnel, paramétrage des systèmes, règles de confidentialité, d’authentification, de sauvegardes, pilotage des prestataires, etc.
- Évaluer cette politique de prévention des risques régulièrement. Cette étape nécessite un suivi attentif et constant de l’état des systèmes, avec des mesures de valeurs définies et la diffusion d’alertes automatiques lorsque l’un des 5 paramètres de la sécurité informatique est affecté.
- Mettre à jour cette politique et sa déclinaison opérationnelle au regard de l’évolution des risques, en lien avec l’étape précédente.
Ces différentes actions doivent être élaborées par la DSI en lien avec les objectifs de la direction. C’est le rôle porté par le profil de RSSI (Responsable de la Sécurité des Systèmes d’Information) ou DSI. Il gère la définition de ce plan de prévention et son déploiement opérationnel avec tous les services métiers et les prestataires qui contribuent au système IT global de l’entreprise.
Cet expert de la sécurité informatique est généralement un profil dont ne disposent que rarement les PME et ETI. L’accompagnement d’un DSI à temps partagé augmenté, spécialiste du pilotage du SI dans sa globalité peut être une solution pour maîtriser les risques. Référence DSI accompagne les entreprises dans le pilotage de leur SI en intégrant la gouvernance de la sécurité informatique pour garantir l’intégrité et la compétitivité de son activité dans un écosystème cybercriminel toujours plus sophistiqué.