Les fondamentaux de gestion des risques de sécurité

Blogs et articles

La gestion des risques de sécurité d'une entreprise passe par des mesures plus basiques et moins coûteuses qu'on ne l'imagine généralement.

6 février 20207 mins
Iron Mountain logo with blue mountains
Comment lancer un solide programme de gestion des risques de sécurité sans bouleverser votre entreprise.

Il est toujours intéressant d'observer la façon dont les entreprises assurent la gestion des risques de sécurité concernant les informations qu'elles détiennent. Contrairement aux fonctions d'entreprise classiques, dont le rôle reste à peu près identique dans la durée, la sécurité de l'information est un champ qui évolue pratiquement au jour le jour. Sa grande complexité est liée à la diversité des domaines concernés, depuis les systèmes techniques jusqu'aux flux de travail des entreprises en passant par la documentation et la formation des collaborateurs. Si on y ajoute le fait que la sécurité en entreprise n'est généralement mise à contribution que lorsqu'un problème se présente, on obtient une bonne idée de la difficulté de la tâche.

Pour gérer plus facilement les risques de sécurité, la première étape consiste à identifier l'intégralité des éléments à sécuriser dans l'entreprises et à définir le processus de sécurisation. Cela peut sembler évident, mais il est difficile d'assurer la sécurité d'éléments dont on ignore qu'ils courent un risque. Dans un contexte professionnel, cela se vérifie de manière éclatante : de nombreux cadres dirigeants d'entreprise et de services informatiques, peut-être même la majorité d'entre eux, n'ont pas conscience de tout ce qu'ils sont chargés de protéger et méconnaissent les risques de sécurité liés à l'environnement de la société.


Gestion des risques de sécurité : les écueils les plus courants

Dans le cadre de mon travail de prestataire de services d'évaluation de sécurité, je suis en contact constant avec des membres de services informatiques ou de sécurité, développeurs de logiciels et autres collaborateurs impliqués dans le domaine de la sécurité. Il arrive bien souvent qu'ils ne maîtrisent pas des notions comme :

  • l'endroit où les informations sensibles sont stockées sur le réseau
  • les normes et politiques de sécurité de l'information qui doivent être appliquées dans l'ensemble de l'entreprise
  • ce qui se passe sur le réseau à un moment donné
  • le caractère utile ou nuisible des différentes technologies en jeu en matière de gestion des risques
  • les risques auxquels les hébergeurs, systèmes d'exploitation, logiciels tiers et applications développées en interne sont soumis

De plus, des fonctions d'entreprise aussi importantes que les RH sont souvent déconnectées des questions de sécurité associées aux politiques d'entreprise et à la formation des collaborateurs. Il est assez rare que les équipes chargées des relations publiques soient impliquées dans les procédures de réaction aux incidents. De même, les juristes sont souvent déconnectés de ces questions ou, pire encore, ce sont eux qui prennent leurs propres décisions en matière de sécurité sans que les membres de l'équipe de sécurité ne soient impliqués. Tout cela crée ou alimente des risques de sécurité évitables. Les difficultés de ce type sont plus courantes qu'on ne le croit. On les retrouve même chez les grandes entreprises les plus expérimentées disposant d'un département entièrement dédié à la sécurité.

La direction à prendre

Si vous estimez que votre société aurait tout intérêt à réviser sa politique de sécurité, ou qu'elle doit prendre conscience des risques qui la menacent, que pouvez-vous faire ? La première des mesures à prendre est d'évaluer en profondeur tous les risques existants.

Mais avant même de procéder à cette estimation, vous aurez besoin du soutien des cadres de l'entreprise. Sans cela, vous n'obtiendrez pas le budget et l'implication nécessaires, sans même parler des actions correctives ultérieures.

Une fois ce soutien acquis au sein de toute l'entreprise pour votre politique de sécurité de l'information, vous devrez régler les points suivants :

  1. Qu'est-ce qui se trouve sur votre réseau ? Qu'avez-vous la responsabilité de protéger ? De quelle façon cela doit-il être protégé ? De nombreuses personnes en entreprise ne connaissent pas la réponse à ces questions. Il se peut qu'elles n'aient pas la visibilité nécessaire sur ces notions ou qu'elles ne disposent d'aucun inventaire à jour des actifs de l'entreprise. Leur manque de maîtrise sur le sujet relève peut-être d'une méconnaissance des réglementations en vigueur, comme le RGPD par exemple, ou des bonnes pratiques de sécurité recommandées. Quelle que soit la raison, cette lacune est à l'origine de beaucoup de difficultés courantes en matière de sécurité.
  2. Identification des menaces et vulnérabilités existantes On a beau connaître l'environnement économique de son entreprise, cela ne signifie pas automatiquement qu'on comprend à quels risques les données et les systèmes de l'entreprise sont soumis. Pour s'attaquer aux problèmes de sécurité les plus importants et urgents, il convient d'effectuer une évaluation de sécurité approfondie qui examine tous les aspects des activités de l'entreprise liées à l'informatique, y compris dans les domaines techniques et administratifs.
  3. Identification des mesures à prendre pour limiter les risques les plus importants J'ai souvent été le témoin de coups d'arrêt imposés à des projets d'amélioration de la sécurité juste après leur lancement. Il suffit de publier un rapport d'évaluation de sécurité dans l'entreprise pour qu'un grand nombre de parties prenantes (aussi bien dans la partie technique que parmi les cadres dirigeants) décident unilatéralement que les choses vont bien en l'état ou qu'elles disposent d'un budget insuffisant pour mener les transformations requises à bien. Pourtant, la majorité des risques de sécurité relèvent en réalité de problèmes basiques dont la résolution ne nécessite pas un budget exorbitant, loin de là. Il s'agit le plus souvent d'améliorer les procédures de maintenance, de mettre à jour le code des applications et d'améliorer la formation des utilisateurs.

Si vous prenez ces mesures simples et mettez en place une recherche périodique des failles de sécurité, cela peut permettre de faire de la sécurité une fonction d'entreprise plus classique et « statique ». Votre programme de sécurité doit être suffisamment solide pour s'intégrer parfaitement au fonctionnement quotidien de votre entreprise. C'est uniquement une question de volonté. L'important est de prendre conscience du fait qu'il peut exister des risques dont vous n'avez pas conscience, et de faire le nécessaire pour les découvrir et prendre les mesures appropriées pour les limiter.

Il est toujours intéressant d'observer la façon dont les entreprises assurent la gestion des risques de sécurité concernant les informations qu'elles détiennent. Contrairement aux fonctions d'entreprise classiques, dont le rôle reste à peu près identique dans la durée, la sécurité de l'information est un champ qui évolue pratiquement au jour le jour. Sa grande complexité est liée à la diversité des domaines concernés, depuis les systèmes techniques jusqu'aux flux de travail des entreprises en passant par la documentation et la formation des collaborateurs. Si on y ajoute le fait que la sécurité en entreprise n'est généralement mise à contribution que lorsqu'un problème se présente, on obtient une bonne idée de la difficulté de la tâche.

Pour gérer plus facilement les risques de sécurité, la première étape consiste à identifier l'intégralité des éléments à sécuriser dans l'entreprises et à définir le processus de sécurisation. Cela peut sembler évident, mais il est difficile d'assurer la sécurité d'éléments dont on ignore qu'ils courent un risque. Dans un contexte professionnel, cela se vérifie de manière éclatante : de nombreux cadres dirigeants d'entreprise et de services informatiques, peut-être même la majorité d'entre eux, n'ont pas conscience de tout ce qu'ils sont chargés de protéger et méconnaissent les risques de sécurité liés à l'environnement de la société.


Gestion des risques de sécurité : les écueils les plus courants

Dans le cadre de mon travail de prestataire de services d'évaluation de sécurité, je suis en contact constant avec des membres de services informatiques ou de sécurité, développeurs de logiciels et autres collaborateurs impliqués dans le domaine de la sécurité. Il arrive bien souvent qu'ils ne maîtrisent pas des notions comme :

  • l'endroit où les informations sensibles sont stockées sur le réseau
  • les normes et politiques de sécurité de l'information qui doivent être appliquées dans l'ensemble de l'entreprise
  • ce qui se passe sur le réseau à un moment donné
  • le caractère utile ou nuisible des différentes technologies en jeu en matière de gestion des risques
  • les risques auxquels les hébergeurs, systèmes d'exploitation, logiciels tiers et applications développées en interne sont soumis

De plus, des fonctions d'entreprise aussi importantes que les RH sont souvent déconnectées des questions de sécurité associées aux politiques d'entreprise et à la formation des collaborateurs. Il est assez rare que les équipes chargées des relations publiques soient impliquées dans les procédures de réaction aux incidents. De même, les juristes sont souvent déconnectés de ces questions ou, pire encore, ce sont eux qui prennent leurs propres décisions en matière de sécurité sans que les membres de l'équipe de sécurité ne soient impliqués. Tout cela crée ou alimente des risques de sécurité évitables. Les difficultés de ce type sont plus courantes qu'on ne le croit. On les retrouve même chez les grandes entreprises les plus expérimentées disposant d'un département entièrement dédié à la sécurité.

La direction à prendre

Si vous estimez que votre société aurait tout intérêt à réviser sa politique de sécurité, ou qu'elle doit prendre conscience des risques qui la menacent, que pouvez-vous faire ? La première des mesures à prendre est d'évaluer en profondeur tous les risques existants.

Mais avant même de procéder à cette estimation, vous aurez besoin du soutien des cadres de l'entreprise. Sans cela, vous n'obtiendrez pas le budget et l'implication nécessaires, sans même parler des actions correctives ultérieures.

Une fois ce soutien acquis au sein de toute l'entreprise pour votre politique de sécurité de l'information, vous devrez régler les points suivants :

  1. Qu'est-ce qui se trouve sur votre réseau ? Qu'avez-vous la responsabilité de protéger ? De quelle façon cela doit-il être protégé ? De nombreuses personnes en entreprise ne connaissent pas la réponse à ces questions. Il se peut qu'elles n'aient pas la visibilité nécessaire sur ces notions ou qu'elles ne disposent d'aucun inventaire à jour des actifs de l'entreprise. Leur manque de maîtrise sur le sujet relève peut-être d'une méconnaissance des réglementations en vigueur, comme le RGPD par exemple, ou des bonnes pratiques de sécurité recommandées. Quelle que soit la raison, cette lacune est à l'origine de beaucoup de difficultés courantes en matière de sécurité.
  2. Identification des menaces et vulnérabilités existantes On a beau connaître l'environnement économique de son entreprise, cela ne signifie pas automatiquement qu'on comprend à quels risques les données et les systèmes de l'entreprise sont soumis. Pour s'attaquer aux problèmes de sécurité les plus importants et urgents, il convient d'effectuer une évaluation de sécurité approfondie qui examine tous les aspects des activités de l'entreprise liées à l'informatique, y compris dans les domaines techniques et administratifs.
  3. Identification des mesures à prendre pour limiter les risques les plus importants J'ai souvent été le témoin de coups d'arrêt imposés à des projets d'amélioration de la sécurité juste après leur lancement. Il suffit de publier un rapport d'évaluation de sécurité dans l'entreprise pour qu'un grand nombre de parties prenantes (aussi bien dans la partie technique que parmi les cadres dirigeants) décident unilatéralement que les choses vont bien en l'état ou qu'elles disposent d'un budget insuffisant pour mener les transformations requises à bien. Pourtant, la majorité des risques de sécurité relèvent en réalité de problèmes basiques dont la résolution ne nécessite pas un budget exorbitant, loin de là. Il s'agit le plus souvent d'améliorer les procédures de maintenance, de mettre à jour le code des applications et d'améliorer la formation des utilisateurs.

Si vous prenez ces mesures simples et mettez en place une recherche périodique des failles de sécurité, cela peut permettre de faire de la sécurité une fonction d'entreprise plus classique et « statique ». Votre programme de sécurité doit être suffisamment solide pour s'intégrer parfaitement au fonctionnement quotidien de votre entreprise. C'est uniquement une question de volonté. L'important est de prendre conscience du fait qu'il peut exister des risques dont vous n'avez pas conscience, et de faire le nécessaire pour les découvrir et prendre les mesures appropriées pour les limiter.

Elevate the power of your work

Profitez d'une consultation GRATUITE aujourd'hui !

Lancez-vous