Selon le baromètre de la sécurité des entreprises publié par le CESIN, 45% des entreprises françaises ont été cyberattaquées en 2022. La sécurité des systèmes d’information constitue donc un enjeu d’envergure pour les organisations, publiques comme privées.
Sécurité des systèmes d’information : un enjeu de premier plan pour les organisations
La sécurité des systèmes d’information ne doit pas être considérée comme un sujet purement informatique. Elle recouvre en effet un enjeu plus large que la simple technologie : celui de sécurité de l’information et des données.
Or, toute entreprise ou collectivité s’appuie aujourd’hui sur les données pour mener à bien son activité. La data est omniprésente, et bien souvent indispensable au bon fonctionnement des organisations. Toute vulnérabilité ou incident susceptible de compromettre les données (fuite, piratage, panne…) représente alors un risque, à la fois financier, réputationnel, sociétal et concurrentiel.
Ainsi, la sécurité de l’information doit reposer sur trois piliers fondamentaux : les technologies, certes, mais aussi les hommes et les processus. Ce sont en effet les hommes, utilisateurs et techniciens, qui exploitent et gèrent les systèmes d’information. Ils sont donc les premiers acteurs de la sécurité au sein de l’organisation. Les processus sont également primordiaux car ils permettent de cadrer les usages de sorte que la sécurité de la SSI soit assurée. En somme, sans ces trois dimensions, impossible de sécuriser correctement les systèmes d’information.
Alors, comment piloter les technologies, les hommes et les processus pour garantir la sécurité des SI ? Quelles sont les bonnes pratiques à appliquer ? Réponses…
10 bonnes pratiques pour garantir la sécurité des systèmes d’information
1. Mettre en place une gouvernance de la sécurité des systèmes d’information
La gouvernance de la sécurité des systèmes d’information consiste à inclure la SSI dans la stratégie globale de l’entreprise. Cette démarche permet de définir la façon dont le système d’information s’imbrique dans les activités de l’organisation et contribue à la création de valeur.
Pour sécuriser le SI, la première bonne pratique consiste ainsi à établir une gouvernance ou une politique de sécurité des systèmes d’information (PSSI), portée par le Codir. En effet, la sécurité du SI doit relever d’arbitrages politiques et stratégiques de la Direction, car elle impacte l’ensemble des activités et collaborateurs de l’organisation.
2. Dédier un budget à la SSI
Comme pour les autres services (communication, marketing, commerce, achats…), la SSI doit disposer d’un budget dédié. Dans le cas contraire, le RSSI ne sera en mesure de déployer les outils et les processus permettant de garantir la sécurité des systèmes d’information.
En moyenne, il est recommandé d’attribuer 10% du budget IT à la cybersécurité. Ce budget doit bien sûr être adapté en fonction du secteur d’activité de votre organisation et de vos enjeux de sécurité.
Point d’attention : le budget dédié à la cybersécurité ne doit pas uniquement couvrir les outils déployés au sein de votre organisation pour assurer la SSI. Il doit aussi prendre en compte les ressources humaines mobilisées sur les projets de sécurisation du SI, les formations, les audits, les mises à jour du SI…
3. Différencier le DSI et le RSSI
Si la taille de votre organisation le permet, il est préférable de nommer deux personnes différentes aux postes de DSI et de RSSI. Cette bonne pratique évite en effet que la personne en charge de la sécurité du SI endosse une double-casquette et se retrouve tiraillée entre des intérêts divergents. Pour plus d’efficacité, veillez également à ce que le DSI et le RSSI soient positionnés au même niveau de l’organigramme et participent tous deux au Codir. Ainsi, les sujets relatifs à la sécurité pourront prendre part dans la politique globale de votre organisation (cf point 1).
Dans le cas où votre structure ne peut se permettre d’avoir un DSI et un RSSI, il convient de différencier les missions relatives à ces deux casquettes, et de définir un temps de travail dédié à la cybersécurité. Ainsi, vous évitez que la personne en charge de la sécurité du SI ne se retrouve absorbée par d’autres projets et mette de côté la partie sécurité, ou la repousse à plus tard.
4. Former et sensibiliser les utilisateurs
La sécurité du SI ne peut être assurée que si les collaborateurs connaissent et respectent les processus de sécurité établis par le RSSI. Or, certains utilisateurs n’ont qu’une connaissance partielle du SI et des enjeux qu’il recouvre. Il est donc nécessaire de former et sensibiliser chaque membre de votre organisation, afin que tout le monde suive les bonnes pratiques de sécurité et fasse preuve de vigilance.
Pour impliquer chaque utilisateur dans la SSI, vous pouvez par exemple mener des campagnes de faux-phishing. En plus d’être ludique, cette gamification participe à maintenir la vigilance et rappeler les bonnes pratiques aux utilisateurs, de manière régulière.
Veillez également à communiquer régulièrement en interne. Les utilisateurs doivent savoir ce qui est déployé au sein de votre organisation en matière de cybersécurité, connaître les vulnérabilités pour être vigilant et être informés d’éventuelles attaques dont vous seriez victime. Cette communication transparente permet de susciter l’adhésion des collaborateurs et de créer une synergie au service de la cybersécurité.
5. Auditer le SI
L’audit de sécurité informatique permet de connaître les menaces auxquelles votre organisation est exposée. Ce diagnostic du niveau de sécurité de votre SI révèle en effet d’éventuelles vulnérabilités susceptibles de compromettre vos activités. Vous êtes ainsi en mesure d’établir un plan d’action permettant de corriger les vulnérabilités pour éviter les intrusions et les incidents.
Lire aussi : Audit de sécurité : comment auditer mon système d’information ?
6. Sécuriser les points d’entrée
Réseau, mots de passe, postes de travail, emails, serveurs… De nombreux éléments de votre SI peuvent représenter des portes d’entrée pour d’éventuels attaquants. Veillez donc à sécuriser chacune d’entre elles, en établissant des processus pour chaque situation et en déployant les outils adaptés. Antivirus, antispam, anti-phishing…
Point d’attention : bien que de nombreux outils de cybersécurité soient disponibles sur le marché, rien ne sert de les démultiplier. Disposer de trop nombreux outils ne ferait que complexifier la maîtrise du SI. A ce titre, sachez que certains outils de gestion permettent de centraliser les opérations.
7. Mettre à jour les systèmes d’information
De nombreuses vulnérabilités du SI proviennent du fait que les systèmes d’information ne sont pas systématiquement mis à jour. Pour renforcer la sécurité de votre SI, veillez donc à gérer les mises à jour en temps et en heure. Simple, mais très efficace !
8. Sécuriser l’écosystème
Filiales, fournisseurs, sous-traitants, hébergeurs, infogéreurs… La sécurité de votre SI ne dépend pas uniquement de vos collaborateurs internes. De nombreux autres acteurs peuvent avoir accès à votre système d’information dans le cadre de vos échanges, de données notamment. Il est donc nécessaire de bâtir un écosystème sécurisé, de sorte que vos partenaires ne deviennent pas des portes d’entrée potentielles vers votre SI.
9. Faire de la veille
Ce n’est un secret pour personne : les technologies sont en constante évolution. Mais gardez à l’esprit que les vulnérabilités et méthodes d’attaques le sont également. Pour sécuriser en continu votre système d’information, il donc essentiel de faire de la veille. Vous devez être au fait des évolutions technologiques et de l’état de l’art en matière de cybersécurité. Vous serez ainsi en mesure de mettre à jour votre politique et vos actions de sécurisation de votre SI.
10. Mettre en place un PCI
Le plan de continuité informatique couvre la gestion de crise cyber, du stratégique à l’opérationnel. En cas d’incident, il vous permettra de limiter les conséquences sur l’activité de votre organisation et de gagner du temps dans la mise en place de mesures de protection et de réparation. Chacun saura comment agir pour restaurer le bon fonctionnement de votre structure. Vous pourrez ainsi resécuriser votre système d’information et éviter qu’il ne soit endommagé ou indisponible trop longtemps.
Lire aussi : Plan de continuité d’activité : définition et mise en place en 5 étapes
Sécurité des systèmes d’information : un accompagnement nécessaire
Vous connaissez désormais les 10 principales bonnes pratiques à appliquer pour sécuriser votre système d’information ! Mais force est de constater qu’il n’est pas toujours évident de les déployer seul. La dernière (ou plutôt, la première) bonne pratique consiste alors à se faire accompagner par un spécialiste de la cybersécurité. Son regard objectif et expert vous sera d’une aide précieuse pour sécuriser votre SI de manière pragmatique.
Et si vous faisiez confiance à Netsystem ?
Société de conseil en Systèmes d’Information et en transformation digitale, Netsystem vous accompagne sur tout le spectre de la sécurisation du SI. De l’audit de sécurité informatique à la mise en place des bonnes pratiques, en passant par l’externalisation du RSSI, nous nous adaptons à chaque situation pour sécuriser de façon optimale votre système d’information. Vous souhaitez en savoir plus ? Contactez-nous !
