Vous souhaitez être appelé gratuitement par un de nos conseillers ?

Nos conseillers sont disponibles du lundi au vendredi de 9h à 12h et de 14h à 18h

Merci, nos conseillers vont vous rappeler.

ESBD / La bonne étoile de vos données, sécurité informatique

🤯 6 frustrations lors d’un transfert de fichier

Envoyer des fichiers est une tâche devenue banale dans le monde du travail. Cependant cette action anodine peut parfois être frustrante voire périlleuse pour l’entreprise. Découvrez 6 actions les « plus pénibles » lors d’échanges de fichiers.

En savoir plus
Demander une démo
fr / en /
Demander une démo
fr / en /

Gestion des risques : Comment créer une stratégie de sécurité de l’information ?

par Netwrix • 11 Mai 2020

ESBD-cybersécurité

Si vous êtes responsable de la gestion des risques liés à la sécurité de l’information dans votre entreprise, vous savez que cette tâche est ardue. Les entreprises génèrent sans cesse de gros volumes de données, les systèmes informatiques sont de plus en plus complexes et les cybermenaces n’arrêtent pas d’évoluer. Les défis que vous devez relever peuvent parfois sembler innombrables, et votre budget et vos ressources peuvent vous paraître trop limités pour tous les surmonter. En tant que responsable de la sécurité de l’information, vous êtes censé :

Une stratégie globale de gestion des risques liés à la sécurité de l’information (ISRM) vous aidera à relever ces défis. De plus, elle vous permettra d’aider la direction à mieux comprendre la posture actuelle de l’organisation en matière de sécurité et l’intérêt d’investir dans la protection des données. Dans cet article, je vais partager quelques conseils sur la façon de créer une stratégie ISRM efficace et vous expliquer à quoi ressemble un bon programme.

 

Les composantes de la gestion des risques

La gestion des risques liés à la sécurité de l’information, ou ISRM, est le processus de gestion des risques associés à l’utilisation des technologies de l’information. Autrement dit, les organisations identifient et évaluent les risques pesant sur la confidentialité, l’intégrité et la disponibilité de leurs ressources d’information. Ce processus peut être divisé en deux grandes composantes :

Évaluation des risques – Processus consistant à combiner les informations que vous avez recueillies à propos des actifs, d’une part, et des contrôles, d’autre part, dans le but de définir les risques.

Traitement des risques – Mesures prises pour remédier aux risques, les atténuer, les éviter, les accepter, les transférer ou les gérer.

 

Différents cadres peuvent aider les organisations à élaborer une stratégie ISRM. L’un des plus courants est le cadre de cybersécurité du NIST, qui comprend les activités suivantes :

Identifier – Les activités de ce groupe visent à développer une connaissance des risques de cybersécurité pour les systèmes, les personnes, les biens, les données et les capacités. En connaissant le contexte d’affaires, les besoins de l’entreprise et les risques associés, il est possible d’identifier les menaces et de hiérarchiser les efforts de sécurité. Les activités de cette étape comprennent la gestion des actifs, la gouvernance et l’évaluation des risques.

Protéger – Les organisations mettent en œuvre des mesures de protection et des contrôles de sécurité appropriés pour protéger leurs actifs les plus critiques contre les cybermenaces. Ces activités peuvent être, par exemple, la gestion des identités et le contrôle des accès, la sensibilisation et la formation du personnel.

Détecter – Les organisations doivent repérer rapidement les événements qui peuvent présenter des risques pour la sécurité des données. Généralement, les organisations s’appuient sur une surveillance continue de la sécurité et sur des techniques de détection des incidents.

Réagir – Les organisations prennent des mesures contre un incident de cybersécurité détecté. Les organisations peuvent utiliser les techniques suivantes pour limiter l’impact d’un incident : planification des interventions, communications, analyses, atténuation et améliorations.

Récupérer – Les organisations conçoivent et mettent en œuvre des activités visant à rétablir les capacités ou les services affectés par un incident de sécurité. Ce groupe d’activités contribue à une reprise rapide des opérations normales afin de réduire l’impact des incidents ; il comprend la planification des reprises, les améliorations (par exemple, l’introduction de nouvelles politiques ou la mise à jour des politiques existantes) et les communications.

Avoir la bonne approche

Comme nous l’avons vu précédemment, l’ISRM est un processus continu d’identification, d’évaluation et de réponse aux risques de sécurité. Pour gérer efficacement les risques, les organisations doivent évaluer la probabilité des événements présentant un risque pour l’environnement informatique, ainsi que l’impact potentiel de chaque risque. Voici trois critères qui permettent de déterminer si votre stratégie ISRM améliore efficacement votre posture de sécurité :

  1. Elle permet d’identifier les risques inacceptables et de les traiter correctement.
  2. Elle permet de ne pas gaspiller d’argent ni d’efforts pour des risques non significatifs.
  3. Elle offre à la direction une visibilité sur le profil des risques de l’organisation et les priorités de traitement des risques afin de faciliter la prise de décisions stratégiques.

Les étapes pour bien gérer les risques à la sécurité de l’information

La pratique montre qu’une approche de création d’un programme ISRM en plusieurs phases est la plus efficace, car elle aboutit à un programme plus exhaustif et simplifie l’ensemble du processus de gestion des risques liés à la sécurité de l’information en le décomposant en plusieurs étapes. Cela facilite la gestion du processus ISRM et la résolution des problèmes. Voici cinq étapes pour créer un programme efficace de gestion des risques liés à la sécurité de l’information :

1. Connaitre l’entreprise

Vous devez d’abord comprendre les conditions d’activité de l’organisation, par exemple les considérations budgétaires, le personnel et la complexité des processus métier. Vous devez également considérer le profil des risques de l’organisation, avec une description détaillée de chaque risque et le niveau de risque qu’elle est prête à accepter pour atteindre ses objectifs.

2. L’élaboration du programme

Votre organisation doit ensuite définir son programme ISRM. Veillez à :

3. Définition de la stratégie : développements, indicateurs et études de marché

À cette étape, vous devez définir les capacités fonctionnelles et les contrôles liés à la sécurité informatique et à la gestion des risques (par exemple, évaluation des vulnérabilités, réponse aux incidents, formation et communication) et le modèle de gouvernance déterminant qui sera responsable de chaque aspect de la stratégie ISRM. Si vous décidez de sous-traiter la mise en œuvre des capacités ISRM, veillez à prendre en compte les risques et à exercer un contrôle approprié par le personnel interne.

Définissez ensuite les indicateurs à utiliser pour évaluer l’efficacité de la stratégie ISRM. Voici deux bonnes pratiques :

4. La phase finale

Enfin, vous devez suivre toutes les étapes de l’ISRM (identifier, protéger, détecter, réagir et récupérer) et les répéter régulièrement. Les organisations doivent impérativement disposer d’une politique décrivant toutes les étapes de l’ISRM, les responsabilités des employés et le calendrier ou les conditions de révision du programme. Des modifications majeures de votre environnement informatique, des violations de données dans votre secteur d’activité ou de nouvelles cyberattaques sont autant de raisons valables pour que vous examiniez votre programme ISRM d’un œil critique et que vous le révisiez si nécessaire.

 

Pour conclure …

Les risques de sécurité étant inévitables, il est essentiel, pour la réussite d’une organisation, de pouvoir comprendre et gérer les risques auxquels sont exposés les systèmes et les données. Le développement d’un programme ISRM facilite la gestion des risques et vous aide à protéger vos actifs les plus critiques contre les nouvelles cybermenaces. En étant capable de faire face aux risques et de réagir efficacement aux incidents de sécurité, vous résisterez mieux aux cybermenaces et réduirez les risques potentiels à l’avenir.

 

Source : Netwrix 

S'inscrire à la newsletter

Restez informé de l’actualité ESBD

Merci de vous être abonné(e) à notre newsletter.