Les systèmes d’informations, les données sont désormais les sous-jacents de la plupart de vos activités. Ils constituent ainsi des actifs essentiels au succès de votre entreprise (entreprise, organisme public, association).
Toutefois ces actifs sont exposés à des risques croissants issus notamment de la cybercriminalité, de défaillances techniques et humaines.
La sécurité de vos SI, une nécessité et un défi
Afin de faire face à ces menaces, vous devez vous doter de dispositifs de sécurité visant à garantir l’intégrité, l’exhaustivité, la confidentialité de vos données.
Plus la taille et la complexité de votre entreprise est importante, plus l’assurance de la sécurité de vos SI et de vos données est un défi.
Les SI couvrent souvent l’ensemble de vos activités et concernent donc l’ensemble de vos utilisateurs. Le défi n’est donc pas uniquement technique mais managérial et organisationnel.
Désigner un responsable sécurité des SI, référent de la gouvernance
Afin de répondre à ce défi, vous devez désigner un responsable de la sécurité des SI (RSSI, CISO en anglais), référent sur le sujet de la sécurité.
Selon la taille de votre entreprise, le RSSI devra s’appuyer sur une organisation et une gouvernance.
Une organisation, c’est à dire des acteurs désignés référents au sein de l’organisation, en charge de relayer les pratiques de sécurité IT définies pour l’entreprise. Mais aussi de remonter les difficultés et les incidents / alertes issues des utilisateurs en vue d’actions correctives.
Une gouvernance, c’est à dire :
- Les politiques des sécurité applicables
- L’organisation en charge de la sécurité IT à l’échelle de l’entreprise et la description des rôles et responsabilités de chaque acteur participant.
- Un comité de suivi et de pilotage des actions de sécurité IT.
L’objectif de la gouvernance de la sécurité de SI (SSI)
- Définir les règles de sécurité applicables au travers notamment de la PSSI (politique SSI) et sa déclinaison en règles opérationnelles
- Vérifier la conformité des règles aux réglementations et aux normes applicables.
- Suivre leur déploiement au travers de dispositifs de sécurité, d’actions de sensibilisation et de formation auprès des parties prenantes.
- Contrôler le bon fonctionnement et le pilotage des dispositifs dans la durée.
- Réaliser un reporting auprès des parties prenantes (direction, métier, clients, fournisseurs, actionnaires) en phase avec les objectifs de l’organisme et leurs évolutions.
- Améliorer en continue l’ensemble des dispositifs.
La gestion des risques, une nécessité pour une cybersécurité mature
Les dispositifs à définir et à appliquer dépendent du niveau de maturité de l’organisme.
L’application des bonnes pratiques sécurité IT (guide cybersécurité ANSSI CGPME, normes ISO 2700x) est un prérequis.
Toutefois, afin que les dispositifs soient parfaitement adaptés aux caractéristiques de votre entreprise, une approche par les risques est nécessaire. Elle permet, sur la base d’une compréhension de vos activités et de vos SI, de définir les dispositifs adéquats pour maîtriser vos principaux risques selon vos enjeux stratégiques.
Une bonne gouvernance de votre cybersécurité est donc fondamentale pour assurer la sécurité et la résilience de vos activités, la confiance de vos parties prenantes, fondements du développement de vos activités digitales.
À propos de l’auteur