La mise en sécurité du SI, des étapes successives
La mise en sécurité du SI d’une entreprise est un chantier de longue haleine qui passe par des étapes de maturité successives menant à l’excellence.
Chaque niveau de maturité constitue le socle du niveau de maturité suivant. La viabilité de la mise en place des dispositifs nécessaires à un niveau de maturité déterminé implique d’avoir finaliser la mise en place des dispositifs de sécurité des dispositifs du niveau inférieur. Une entreprise ne peut sauter une étape. Mais elle peut toutefois initier la mise en place de dispositifs de niveaux supérieures. Les dispositifs de chaque niveau complètent ceux des niveaux inférieurs.
Ce travail prend du temps et implique de travailler sur plusieurs axes :
- Les personnes (collaborateurs)
- Les processus
- Les technologies
- L’organisation et la gouvernance
Chaque niveau permet à une organisation de situer sa maturité et donc de déterminer les chantiers à initialiser pour pouvoir passer au niveau supérieur.
NB : L’atteinte du plus haut niveau de maturité assurera à l’entreprise un bon niveau de protection mais en aucun cas, cela ne garantira une protection à 100%. Si une entreprise est ciblée par une équipe spécialisée de cyberattaquant disposant de moyens efficaces, il sera presque impossible de les contrer. Toutefois, les dispositifs de niveau 5 permettent :
- De maîtriser ses risques,
- De rendre une attaque ou une défaillance difficile,
- De réduire le délai de détection et donc de traitement d’une attaque ou d’un incident, et de réduire son impact sur les activités de l’entreprise.
Les différents niveaux de maturité :
| Niveaux de maturité | Niveau 1 | Niveau 2 | Niveau 3 | Niveau 4 | Niveau 5 |
| Fonctionnement empirique | Défini et suivi | Maîtrisé | Avancé | Optimisé | |
| Collaborateurs | Activités non prévues, non coordonnées | Collaborateurs sensibilisés, charte de bonne pratique | Collaborateurs formés aux bonnes pratiques, équipe SSI | Collaborateurs formés régulièrement aux bonnes pratiques et évalués, référents SSI désignés | Collaborateurs formés aux meilleures pratiques à appliquer et régulièrement évalués et testés |
| Process | Activités non formalisées | Processus définis applicables dans toute l’entreprise, reproductibles et suivis | Processus SSI évalués, les processus sont cohérents dans l’ensemble de l’entreprise et améliorés régulièrement, quelques contrôles mis en place | Processus et politiques évalués régulièrement et améliorés, dispositifs de contrôles définis et mis en œuvre, intégration de la sécurité et le privacy by design dès la conception des produits et services | Veille sur les meilleures pratiques, optimisation constante des processus sur la base des évaluations |
| Organisation et gouvernance | Aucune politique SSI | Politiques SSI définies, responsable de la sécurité SI désigné (RSSI) | Organisation et gouvernance de la filière SSI décrite et mise en œuvre, conformité réglementaire, cartographie des risques | Comité SSI, suivi et pilotage de la SSI sur la base d’indicateurs d’efficacité, conformité réglementaire évaluée, management des risques SSI base des dispositifs SSI, reporting sur la SSI au niveau de la direction de l’entreprise, la sécurité SSI prend en compte les objectifs métiers | Intégrer pleinement les clients, les partenaires et l’ensemble des parties prenantes dans la gestion de la résilience de l’entreprise |
| Technologies | (Bonnes pratiques d’hygiène SSI) Antivirus, firewall, patch management mais non suivi, gestion des accès ad’hoc non procédurée, gestion des mots de passe, sécurité physique | DMZ’s, suivi des mises à jour des antivirus et des patchs, scan de vulnérabilité, gestion des identités et des accès, mise en place de la journalisation des logs | Référentiel des actifs IT, firewall pour terminaux, protection des points d’accès, VPN, mises à jour des antivirus et des patchs systématiques, suivies et documentées, centralisation des logs, plan de continuité d’activité | Gestion centralisée des firewalls, protection des points d’accès, suivi centralisée de la gestion des identités et des accès, systèmes de détection d’intrusion, système de détection de fuite de données, mise en place d’un SIEM et d’un SOC, tests d’intrusion | Veille sur les technologies de sécurité, adopter les nouvelles technologies dans la gestion de la sécurité SI pour réduire le temps de détection et de traitement des incidents et attaques. Ex : mettre en place de l’IA dans l’analyse et la détection des menaces |
À propos de l’auteur