Elevate the power of your work
Profitez d'une consultation GRATUITE aujourd'hui !
La gestion des risques de sécurité d'une entreprise passe par des mesures plus basiques et moins coûteuses qu'on ne l'imagine généralement.
Il est toujours intéressant d'observer la façon dont les entreprises assurent la gestion des risques de sécurité concernant les informations qu'elles détiennent. Contrairement aux fonctions d'entreprise classiques, dont le rôle reste à peu près identique dans la durée, la sécurité de l'information est un champ qui évolue pratiquement au jour le jour. Sa grande complexité est liée à la diversité des domaines concernés, depuis les systèmes techniques jusqu'aux flux de travail des entreprises en passant par la documentation et la formation des collaborateurs. Si on y ajoute le fait que la sécurité en entreprise n'est généralement mise à contribution que lorsqu'un problème se présente, on obtient une bonne idée de la difficulté de la tâche.
Pour gérer plus facilement les risques de sécurité, la première étape consiste à identifier l'intégralité des éléments à sécuriser dans l'entreprises et à définir le processus de sécurisation. Cela peut sembler évident, mais il est difficile d'assurer la sécurité d'éléments dont on ignore qu'ils courent un risque. Dans un contexte professionnel, cela se vérifie de manière éclatante : de nombreux cadres dirigeants d'entreprise et de services informatiques, peut-être même la majorité d'entre eux, n'ont pas conscience de tout ce qu'ils sont chargés de protéger et méconnaissent les risques de sécurité liés à l'environnement de la société.
Dans le cadre de mon travail de prestataire de services d'évaluation de sécurité, je suis en contact constant avec des membres de services informatiques ou de sécurité, développeurs de logiciels et autres collaborateurs impliqués dans le domaine de la sécurité. Il arrive bien souvent qu'ils ne maîtrisent pas des notions comme :
De plus, des fonctions d'entreprise aussi importantes que les RH sont souvent déconnectées des questions de sécurité associées aux politiques d'entreprise et à la formation des collaborateurs. Il est assez rare que les équipes chargées des relations publiques soient impliquées dans les procédures de réaction aux incidents. De même, les juristes sont souvent déconnectés de ces questions ou, pire encore, ce sont eux qui prennent leurs propres décisions en matière de sécurité sans que les membres de l'équipe de sécurité ne soient impliqués. Tout cela crée ou alimente des risques de sécurité évitables. Les difficultés de ce type sont plus courantes qu'on ne le croit. On les retrouve même chez les grandes entreprises les plus expérimentées disposant d'un département entièrement dédié à la sécurité.
Si vous estimez que votre société aurait tout intérêt à réviser sa politique de sécurité, ou qu'elle doit prendre conscience des risques qui la menacent, que pouvez-vous faire ? La première des mesures à prendre est d'évaluer en profondeur tous les risques existants.
Mais avant même de procéder à cette estimation, vous aurez besoin du soutien des cadres de l'entreprise. Sans cela, vous n'obtiendrez pas le budget et l'implication nécessaires, sans même parler des actions correctives ultérieures.
Une fois ce soutien acquis au sein de toute l'entreprise pour votre politique de sécurité de l'information, vous devrez régler les points suivants :
Si vous prenez ces mesures simples et mettez en place une recherche périodique des failles de sécurité, cela peut permettre de faire de la sécurité une fonction d'entreprise plus classique et « statique ». Votre programme de sécurité doit être suffisamment solide pour s'intégrer parfaitement au fonctionnement quotidien de votre entreprise. C'est uniquement une question de volonté. L'important est de prendre conscience du fait qu'il peut exister des risques dont vous n'avez pas conscience, et de faire le nécessaire pour les découvrir et prendre les mesures appropriées pour les limiter.
Il est toujours intéressant d'observer la façon dont les entreprises assurent la gestion des risques de sécurité concernant les informations qu'elles détiennent. Contrairement aux fonctions d'entreprise classiques, dont le rôle reste à peu près identique dans la durée, la sécurité de l'information est un champ qui évolue pratiquement au jour le jour. Sa grande complexité est liée à la diversité des domaines concernés, depuis les systèmes techniques jusqu'aux flux de travail des entreprises en passant par la documentation et la formation des collaborateurs. Si on y ajoute le fait que la sécurité en entreprise n'est généralement mise à contribution que lorsqu'un problème se présente, on obtient une bonne idée de la difficulté de la tâche.
Pour gérer plus facilement les risques de sécurité, la première étape consiste à identifier l'intégralité des éléments à sécuriser dans l'entreprises et à définir le processus de sécurisation. Cela peut sembler évident, mais il est difficile d'assurer la sécurité d'éléments dont on ignore qu'ils courent un risque. Dans un contexte professionnel, cela se vérifie de manière éclatante : de nombreux cadres dirigeants d'entreprise et de services informatiques, peut-être même la majorité d'entre eux, n'ont pas conscience de tout ce qu'ils sont chargés de protéger et méconnaissent les risques de sécurité liés à l'environnement de la société.
Dans le cadre de mon travail de prestataire de services d'évaluation de sécurité, je suis en contact constant avec des membres de services informatiques ou de sécurité, développeurs de logiciels et autres collaborateurs impliqués dans le domaine de la sécurité. Il arrive bien souvent qu'ils ne maîtrisent pas des notions comme :
De plus, des fonctions d'entreprise aussi importantes que les RH sont souvent déconnectées des questions de sécurité associées aux politiques d'entreprise et à la formation des collaborateurs. Il est assez rare que les équipes chargées des relations publiques soient impliquées dans les procédures de réaction aux incidents. De même, les juristes sont souvent déconnectés de ces questions ou, pire encore, ce sont eux qui prennent leurs propres décisions en matière de sécurité sans que les membres de l'équipe de sécurité ne soient impliqués. Tout cela crée ou alimente des risques de sécurité évitables. Les difficultés de ce type sont plus courantes qu'on ne le croit. On les retrouve même chez les grandes entreprises les plus expérimentées disposant d'un département entièrement dédié à la sécurité.
Si vous estimez que votre société aurait tout intérêt à réviser sa politique de sécurité, ou qu'elle doit prendre conscience des risques qui la menacent, que pouvez-vous faire ? La première des mesures à prendre est d'évaluer en profondeur tous les risques existants.
Mais avant même de procéder à cette estimation, vous aurez besoin du soutien des cadres de l'entreprise. Sans cela, vous n'obtiendrez pas le budget et l'implication nécessaires, sans même parler des actions correctives ultérieures.
Une fois ce soutien acquis au sein de toute l'entreprise pour votre politique de sécurité de l'information, vous devrez régler les points suivants :
Si vous prenez ces mesures simples et mettez en place une recherche périodique des failles de sécurité, cela peut permettre de faire de la sécurité une fonction d'entreprise plus classique et « statique ». Votre programme de sécurité doit être suffisamment solide pour s'intégrer parfaitement au fonctionnement quotidien de votre entreprise. C'est uniquement une question de volonté. L'important est de prendre conscience du fait qu'il peut exister des risques dont vous n'avez pas conscience, et de faire le nécessaire pour les découvrir et prendre les mesures appropriées pour les limiter.
Profitez d'une consultation GRATUITE aujourd'hui !