Assurer la sécurité de l’information nécessite une approche plus que technique
Dernièrement plusieurs attaques ont montré que l’approche purement technique pour contrer les cyberattaques ne suffit pas. Il faut juste prendre l’exemple des dernières attaques de phishing utilisées pour envoyer les ransomwares et prendre en otage les données des victimes. Ces attaques prouvent que miser seulement sur l’arsenal technique pour garantir la sécurité est une stratégie vouée à l’échec. Ceci est dû à plusieurs raisons :
- Votre entreprise a besoin de s’ouvrir sur le monde d’internet. N’oubliez pas que pour communiquer avec vos clients ou fournisseurs vous avez besoin au moins d’une messagerie électronique.
- Votre système de pare-feu ne bloque pas le trafic qui lui parait légitime. Par exemple un courrier avec un logiciel malveillant en pièce jointe est un trafic légitime
- Votre système de prévention d’intrusion et même votre solution antivirale ne peuvent pas détecter les logiciels malveillants inconnus des éditeurs de ces solutions.
- Votre puissante solution de chiffrement toute seule ne garantit pas la confidentialité de vos données. Il suffit juste que ces dernières soient imprimées et oubliées sur le bureau d’un collaborateur.
Des exemples cités ci-dessous, nous pouvons conclure qu’assurer la sécurité du patrimoine informationnel de l’entreprise nécessite une vision globale de gestion des risques informationnels. Pour concrétiser cette vision, une approche systémique du management de la sécurité de l’information s’avère nécessaire pour assurer une cohérence de toutes les actions sécuritaires et qui aura comme base les trois piliers ci-dessous :
- Les personnes : un personnel sensibilisé avec des compétences adéquates selon leurs rôles et responsabilités dans le système
- La technologie : des outils techniques à la hauteur des défis sécuritaires
- Les processus : des procédures claires et formelles décrivant les actions à entreprendre pour assurer une complémentarité et une synergie entre les personnes et la technologie
Cette approche qui vise à mettre en place un Système de Management de la Sécurité d’Information (SMSI) doit se baser sur un processus de gestion de risques dans le but de rationaliser les investissements en ressources humaines et techniques ainsi que d’orienter les efforts vers les zones à risque. Ce processus doit être précédé par un chantier d’identification et de classification de vos informations selon leurs valeurs. Car tout simplement elles n’ont pas la même valeur.
Une fois que le système a été mis en place, vient la phase la plus difficile : le faire fonctionner et le maintenir en marche. C’est cette phase qui déterminera la réussite de votre système. C’est la phase de création de la valeur et de réalisation de la noble mission : protéger le patrimoine informationnel de l’entreprise ou tout simplement protéger l’entreprise.
Pour réussir ce challenge, des évaluations objectives et des mesures régulières des performances du système sont indispensables. Ces mesures constitueront une base pour l’amélioration continue du système : gage de sa survie.
Enfin il faut noter que l’approche en question permet de rendre la sécurité de l’information une affaire de tout l’organisme, du top management aux opérationnels. Tout le monde est engagé dans une seule voie : protéger les biens informationnels de l’entreprise.
Analyste/Programmeur chez BCMA
8 ansEffectivement, l’élaboration et la mise en place d'un SMSI avec les ressources et les compétences adéquates, sont devenus un enjeu réel pour chaque entité pour que l'information circulé et traité de manière très sécurisé sinon , l'information est devenue une source qui menace la pérennité de l'entreprise.
Business Project Manager/ Head of audit mission
8 ansTrès intéressant comme article. Le cerveau humain est aussi un support d'information susceptible de stocker des actifs classés "top secret". La même démarche de mise en place du SMSI lui est également applicable.
Product Manager @ Synaptique
8 ansMerci pour ce partage d'information
Senior IT Consultant
8 ansArticle interessant. Certes, l'élément humain reste le maillon faible du système. Aussi, la sensibilisation ainsi que le controle continu sont de mise.