Comme nous l’avons vu dans notre article précédent, la maîtrise du risque numérique constitue une fonction essentielle pour toute entreprise quelle que soit sa taille, tant la menace qui pèse sur elle devient un élément susceptible d’affecter son patrimoine informationnel, ses données clients et celles de ses partenaires.
Si les besoins des TPE / PME sont aussi stratégiques que ceux des grandes entreprises, leurs moyens sont plus limités et doivent être engagés avec pragmatisme.
La sécurité dans un champ concurrentiel exacerbé s’avère être un facteur de performance pour des TPE & PME agiles et innovantes.
Sarapis propose des orientations pour aborder la gestion de la sécurité avec cette vision opérationnelle.
Tout d’abord, comme dirait le philosophe, « connais-toi toi-même » :
- Il convient en l’occurrence de préciser les enjeux de l’organisation et d’identifier les risques qui l’empêcheraient d’atteindre ses objectifs métier.
- Il est indispensable de mesurer et de contrôler la maturité sécurité des personnels et de ce qui relève de l’appétence aux risques des dirigeants, pour viser la croissance en ajustant les prises de risques.
Première étape :
Diagnostiquer le niveau de sécurité de l’organisation par rapport à ses enjeux essentiels. Evaluer les conséquences de sinistres ainsi que leurs vraisemblances. Cela passe par la formalisation de scénarios de risques métier tels que pour exemples :
- Pertes d’exploitation liées à l’indisponibilité des systèmes d’information ayant pour causes :
- Le chiffrement des systèmes par un cryptovirus porté par une cyberattaque
- La destruction des systèmes par un sinistre
- …
- Perte de compétitivité de l’organisation ayant pour causes :
- La divulgation ou le vol d’informations stratégiques par malveillance de personnel interne ou par hacking
Le diagnostic du niveau de sécurité de l’organisation peut alors être établi en regard des vulnérabilités qui exposent les actifs informationnels identifiés par les scénarios de risques métier.
Cet « état des lieux » est indispensable pour mettre en lumière les éléments essentiels sur lesquels porteront prioritairement les mesures de sécurité. Il s’agit de se concentrer sur la réalité des risques et d’éviter les scénarios improbables ou bien de prétendre prévoir toutes les menaces …
Deuxième étape :
Élaborer les plans de traitement avec les mesures appropriées pour assurer par défaut la résilience de l’organisation, fil rouge d’une gestion pragmatique de la sécurité.
Comme dirait le manager opérationnel, « Par quoi je commence ? » :
- Mobilisation des personnels par une politique volontaire de professionnalisation (plans de sensibilisation et de formation). Le facteur humain est une pièce maitresse dans le dispositif global de sécurité. « La force de la cité ne réside pas dans ses remparts, mais dans le caractère de ses citoyens » relevait Thucydide au 5° siècle av. J-C.
- Réaliser des sauvegardes de « recours » de nature à garantir une reprise d’activité globale sure en cas de corruption ou de destruction massives des systèmes d’information (sauvegardes certifiées, testées et externalisées).
- Assurer une maitrise des accès et des droits reposant sur les besoins fonctionnels, bâtie sur une architecture qui puisse être facilement reconstruite en cas d’attaque (réplication et sauvegarde asynchrone).
- Maintenir les postes en condition de sécurité en effectuant la mise à jour de ses logiciels et en identifiant les composants obsolètes (isolation et / ou surveillance des composants qui ne sont plus maintenus).
Aujourd’hui, beaucoup de TPE / PME sont vulnérables et sont potentiellement en grand danger. Une démarche méthodologique de gestion de la sécurité privilégiant par défaut la prise en compte des conséquences et de la résilience à assurer en l’occurrence, répond mieux au pragmatisme attendu que l’analyse de tous les chemins d’attaque possibles, sans en garantir l’exhaustivité.
SARAPIS a publié un guide méthodologique développant une approche résolument simple, rapide et communicante, accessible sur www.sarapis.fr