annuler
Affichage des résultats de 
Afficher  uniquement  | Rechercher plutôt 
Vouliez-vous dire : 

Les entreprises face au spectre des cybermenaces

Si l'on ajoute à cet agenda déjà bien rempli, l'utilisation omniprésente d’appareils mobiles sur les lieux de travail (BYOD), l'IoT, l'IA, l'analytique, etc., le risque de cybermenaces se fait plus pressant. Ce spectre hante probablement la plupart des DSI ou RSSI, avec comme scénario du pire le vol de données sensibles relayé massivement dans les médias internationaux - entrainant perte de confiance du public et se concluant par une lourde amende pour non-respect des normes et réglementations en matière de sécurité informatique.

Ce cauchemar doit sembler désormais bien réel pour nombres d’entreprises, comme le rapportent fréquemment les médias. La réalité est que, dans un environnement complexe, hyperconnecté et en constante mutation, toute organisation peut être la victime de cyberattaques ou de failles de sécurité. Et se retrouver du jour au lendemain à la une des journaux pour négligence informatique avec des conséquences potentiellement désastreuses.

 

La nécessité de protéger son système d’information

Avec de tels enjeux, la sécurité informatique est devenue une priorité absolue pour les directions d’entreprises. Cette tendance durable est accentuée par le fait que presque toutes les organisations dépendent de leur système d’information pour fonctionner. Système d’information, qui est lui-même alimenté par des données numériques qui doivent être gérées, stockées et sécurisées en conformité avec les différentes réglementations en vigueur. Tout manquement à ces principes expose l’entreprise à de lourdes amendes potentielles, des retombées médiatiques négatives et une perte de revenus conséquente.

Mais assurer la sécurité et l'intégrité des données, évidemment essentiel, n'est qu'une partie de l'équation. Les sociétés se doivent également de protéger leurs actifs informatiques. En effet, les cyberattaques peuvent aussi affecter leurs capacités de production et de fonctionnement, ce qui non seulement entraîne des perturbations opérationnelles, facteur de pertes financières, mais constitue aussi un frein à leur capacité de développement. Les conséquences peuvent être d’autant plus graves lorsque les cibles de ces attaques sont des hôpitaux ou des établissements de santé, comme récemment illustrés par des affaires de « ransomware ».

 

Comment la conformité informatique peut-elle améliorer la cybersécurité ?

Dans un contexte aussi difficile, comment les directions informatiques peuvent-elles s'assurer que leurs systèmes d’information et leurs données soient efficacement protégés ? Une des réponses possibles à cette question réside dans l'adoption des diverses réglementations et normes informatiques en vigueur.

Conçues pour garantir la sécurité des données clients, protéger les investisseurs ou prévenir les cas de fraudes, les exigences réglementaires telles que SOX, pour les contrôles comptables, ou HIPAA, pour la protection des données médicales, sont autant de directives réglementaires que les organisations se doivent de suivre sous peine d’amendes et de préjudices d’image.

En plus des législations, certains regroupements industriels et organismes professionnels ont développé leurs propres normes de sécurité informatique. Parmi les exemples typiques, citons PCI DSS pour le traitement et le stockage des informations relatives aux cartes de crédit, le NIST et son cadre de cybersécurité et l’ISO avec la norme internationale 27001 sur la sécurité des systèmes d'information.

Pourtant, le respect de ces exigences réglementaires et normes informatiques étaient le plus souvent perçues comme un frein au développement de l'activité de l'entreprise. Mais la récente prolifération des cyberattaques – impressionnantes par leur nombre et leur ampleur – associée à l'augmentation des coûts liés à l’informatique, a changé la donne. Les sociétés ont rapidement réalisé que l’adoption volontaire des réglementations et normes en vigueur représentait une formidable opportunité pour elles de sécuriser leurs infrastructures et applications informatiques.

La conformité aux réglementations et aux normes informatiques fournit ainsi aux entreprises un cadre pratique pour renforcer la sécurité et la résilience de leur réseau via l’application et le suivi concret de directives obligatoires ou préconisées.

 

Gérer la complexité des réglementations et normes IT

Les organisations, surtout si elles opèrent dans un environnement soumis à de multiples réglementations et normes internationales, ont souvent des difficultés à :

  • Identifier l'exhaustivité des réglementations et des normes qui leur sont applicables,
  • Gérer les conflits et redondances entre législations,
  • Extraire et décrypter les différentes directives dans un format pratique, standard et exploitable,
  • Mutualiser les efforts de mise en conformité afin d’éviter les duplications de tâches, sources de coûts et de charges supplémentaires.

 

C’est la raison pour laquelle de nombreuses sociétés recourent à des fournisseurs externes de contenu réglementaire, tel que l’UCF® (Unified Compliance Framework), afin de les aider à pallier ces défis. L’idée est d’accélérer l'importation et le traitement des réglementations et normes applicables en mettant à disposition, dans un format standardisé, toutes les directives informatiques nécessaires.

Les directions des systèmes d’information peuvent alors plus facilement prioriser et planifier les mises en conformité tout en maitrisant les coûts associés via l’identification rapide d’opportunités de mutualisation.

Une fois que les exigences réglementaires et normes informatiques applicables ont été identifiées et intégrées, celles-ci doivent être réparties entre les différents actifs informatiques de l'entreprise afin d’évaluer leur niveau de sécurité et de conformité. Et ensuite assurer les actions de suivi nécessaires qui en découlent.

 

Disposer d'une cartographie des actifs informatiques

Les actifs informatiques sont souvent dispersés dans l'entreprise et gérés de manière isolée à l'aide de solutions disparates - ce qui rend la surveillance de l'écosystème informatique délicate. Cela a pour effet immédiat de limiter la maitrise du risque cyber, notamment parce que la capacité de l'organisation à réagir rapidement en cas d’incidents est ainsi entravée.

Une des pierres angulaires d’une gestion de risque cyber efficiente repose sur la capacité pour une entreprise à disposer d'une cartographie holistique et multidimensionnelle de tous ses actifs informatiques. Ce travail est souvent le résultat d'un effort conjoint entre l'architecture d’entreprise, la sécurité et la conformité informatique. Il permet d'identifier rapidement les parties du réseau nécessitant sécurisation et mise en conformité prioritaires, tout en offrant la visualisation des effets de contagion potentiels en cas d’incidents.

Cette méthodologie ne profite pas seulement à l’identification des risques de sécurité informatique en exposant, par exemple, la ségrégation des serveurs et des tâches à travers le réseau ou le cycle de vie complet de gestion des données. Elle permet également de répondre aux différentes exigences en matière de reporting réglementaire de façon claire et illustrée, sans exposer de complexité inutile aux régulateurs.

Les entreprises capables de proposer cette vue d'ensemble bénéficient d'une bonne longueur d'avance dans leur programme de cyber protection et sécurisation. Elles peuvent rapidement analyser et hiérarchiser, en fonction de leur expertise et de la criticité des actifs informatiques pour l'entreprise, les taches à effectuer - et également attribuer les responsabilités associées.

 

Comment relier son système d’information aux règlements et normes en vigueur ?

Afin de surveiller efficacement le niveau de sécurité informatique de l'entreprise, il est essentiel de commencer par attribuer les normes provenant d’une source comme UCF® aux actifs informatiques cartographiés de façon centralisée. Cette étape est cruciale car elle constitue la clé de voûte de la conformité informatique sur laquelle s’appuient tout le processus d'évaluation et de mitigation qui s’en suit.

Les contrôles informatiques liés à l’application des directives réglementaires doivent être testés en continu afin de garantir leur efficacité et leur capacité à protéger l'organisation contre les cybermenaces. Chaque incident doit pouvoir être identifié avec une traçabilité complète, partant du contrôle concerné jusqu’à l’actif informatique et la réglementation associée, afin d'y remédier rapidement.

Cependant, la conformité informatique ne doit pas être traitée comme un exercice isolé. Elle doit s’inscrire dans la stratégie globale de gestion des risques de l’entreprise (Enterprise Risk Management - ERM). Ce qui signifie intégrer les risques identifiés par le département informatique aux risques stratégiques et opérationnels de l’entreprise afin d’éclairer les prises de décisions de la direction générale et fournir aux autorités de régulation une analyse exhaustive et documentée en cas de contrôle.

La conformité informatique, dote non seulement les entreprises d’un cadre structuré et robuste afin de les aider à sécuriser et mettre en conformité leurs systèmes d’information, mais elle les aide aussi à préserver leur pérennité et leur réputation dans le temps - en évitant concrètement que le spectre des cyberattaques ne devienne une réalité.

contributeurs