Trois disciplines clés pour démarrer avec succès votre stratégie cyber

De manière générale, tous les éditeurs de système d’exploitation et d’applications ont amélioré la sécurité de leurs produits. Cependant, dans toutes les analyses post-incident, 90% des erreurs viennent d’une mauvaise configuration faite par l’humain ou d’un processus qui n’a pas été appliqué avec rigueur, comme par exemple le patching des systèmes. Les hackers connaissent exactement le raisonnement des administrateurs et exploitent ces failles car elles sont plus facilement accessibles.

Prenez, par exemple, n’importe quel système hautement sécurisé répondant aux standards les plus exigeants : si vous l’implémentez et négligez les mises à jour régulières du produit ou que vous lui attribuez un mot de passe faible, c’est la sécurité de tout le système qui s’effondre. Car en termes de configuration, nous n’avons pas adopté les bons réflexes ! Une implémentation rigoureuse et respectueuse des principes de sécurité doit être assurée. C’est lors de la conception et de l’implémentation des solutions techniques que les administrateurs introduisent des failles de sécurité involontaires.

Pour réduire le risque au maximum, il est important d’adopter un système de défense en profondeur qui ne repose pas uniquement sur la technologie.

Gouvernance : implication de la direction, gestion des risques et garant des processus

Les entreprises doivent adopter une gouvernance de la sécurité au niveau de la direction à l’aide d’une gestion par les risques, afin de planifier et suivre la mise en œuvre des actions pour améliorer globalement la sécurité des informations. C’est le premier outil de pilotage nécessaire pour développer une stratégie de sécurité des systèmes d’information, mais aussi pour faire accepter les budgets d’investissements dans ce domaine.

Pour cette gestion, je recommande les outils suivants :

• Le Management du risque numérique publiée par l'ANSSI
• La méthode EBIOS 
• Le framework cybersecurity de NIST
• Le framework COBIT5

Humain : sensibilisation et formation des utilisateurs et des informaticiens

Un autre grand problème est qu’on s’efforce de sécuriser l’information en introduisant des outils techniques, pensant qu’ils résolvent tous les problèmes. Comme mentionné en introduction, le risque majeur de ces outils se trouve lors de la conception et de l’implémentation. Il faut ainsi sensibiliser et former aux principes de la sécurité les personnes qui implémentent ces logiciels. Ainsi, il est possible de fortement réduire les vulnérabilités introduites involontairement dans les systèmes.

Formation des utilisateurs

• Formation en ligne gratuite mise en place par le canton de Genève
• S'informer sur le portal de Cybersécurité du canton de Vaud

Formation pour les IT

• Suivi d'un cursus sous dans nos excellentes hautes écoles et universités suisses

Technologie : protéger à l’aide de la technologie et adopter une hygiène irréprochable

Un grand point faible dans de nombreuses PME et grandes entreprises est l’hygiène autour de la gestion des mots de passe. La politique d’entreprise impacte d’une manière trop restrictive le travail quotidien des informaticiens qui trouvent des solutions pour contourner ces directives. Pourtant, il faut bien être conscient que la récupération des mots de passe fait partie du modus operandi des hackers. Il est aussi nécessaire d’implémenter des outils technologiques qui visent à faciliter la découverte, la gestion et la rotation automatique de tous types de comptes à privilèges.

En termes d'hygiène informatique je peux que conseiller le guide de l'ANSSI

"Agissez maintenant pour mettre en œuvre ces trois conseils simples" EG