À mesure que votre entreprise s’appuie sur l’ICT pour des applications toujours plus nombreuses, vous aspirez, en tant que CIO, à un environnement ICT sécurisé et fiable. Ne perdez toutefois pas de vue que la sécurité possède non seulement une composante technologique, mais aussi une importante composante humaine.
Le top management d’une entreprise n’est pas toujours au courant des dangers du cybercrime : en effet, il s’agit d’un monde qui évolue très rapidement. Des attaques fortement médiatisées et documentées – le ver Conficker qui, depuis la fin de l’année passée, a infecté des millions de PC – incitent toutefois à un investissement plus conséquent dans la sécurisation ICT. Mais ces investissements dans la sécurité ne sont pas sans risque. Ils peuvent vous pousser à être moins attentif. Et c’est à ce moment que se produisent les accidents ! Les entreprises qui acquièrent des technologies nouvelles, afin d’accroître la sécurité de leur environnement ICT, prennent, parfois, de ce fait de plus grands risques ailleurs ou alors elles oublient des mesures de sécurité évidentes. Elles affichent, par exemple, une solide authentification d’accès au réseau de l’entreprise mais oublient de verrouiller la porte de la salle informatique… En matière de sécurité, il est de votre responsabilité, en tant que CIO, de mettre en place une politique qui protège votre entreprise contre les dangers potentiels. Votre politique doit éviter au maximum les situations dangereuses en limitant par conséquent les risques.
Investir de manière orientée
Lors de l’ébauche d’une politique de sécurité, vous devez tenir compte des collaborateurs de votre entreprise, des processus et de la technologie. Contrôlez que la politique existante est suffisante et efficace. Vérifiez également si de nouvelles mesures s’avèrent nécessaires, afin d’accroître l’efficacité de la sécurisation ICT. Investissez dans un plan d’action, en commençant par une évaluation de la situation actuelle. Effectuez une analyse des risques pour l’entreprise et ébauchez ensuite le plan de sécurité et la politique y afférente. De cette manière, vous pourrez comprendre les risques existants et la mesure dans laquelle votre entreprise couvre déjà ces risques. L’analyse Gap qui s’ensuivra vous dévoilera les risques restants. Vous vous baserez sur les risques pour votre plan stratégique (avec une liste de priorités). Vous obtiendrez ainsi une vision concrète de la valeur ajoutée de la sécurisation et pourrez investir de manière orientée.
4 conseils pour un environnement ICT sécurisé
1. Optez pour une approche holistique
La sécurisation de l’environnement ICT s’inscrit dans une politique de sécurité plus large. La sécurisation des données et du réseau est inutile si quiconque peut entrer dans la salle serveur comme bon lui semble. Organisez l’accès à l’entreprise et mettez en place une politique en matière d’accompagnement des visiteurs.
2. Évitez les risques inutiles
Idéalement, ces mesures de sécurité ne devront jamais être appliquées. Évitez par conséquent les risques inutiles. Interdisez l’utilisation de clés USB et de CD personnels au sein de l’entreprise. Vous souhaitez jouer la carte de la sécurité ? Rendez dès lors les ports USB de votre parc informatique inutilisables.
3. Maîtrisez les risques restants
Vous ne disposez pas des moyens et effectifs nécessaires pour tout sécuriser correctement ? Évaluez dès lors la probabilité de certains risques, déterminez les dommages y afférents et calculez les coûts de sécurisation. La mise en place d’une sécurisation insuffisante pour tous les éléments à cause d’un budget réduit n’est pas une bonne idée. Concentrez-vous sur la protection des systèmes dotés de la plus grande valeur critique pour votre entreprise. D’autres éléments devront peut-être par conséquent se contenter d’une sécurité moindre, mais ils ont un impact certes moins important sur votre entreprise.
4. Contrôlez le facteur humain
Le plus grand risque en matière de sécurité se trouve dans votre entreprise : vos collaborateurs. Dans votre politique de sécurité, définissez les rôles de vos collaborateurs. Organisez l’accès à certaines données en fonction du rôle et de la responsabilité de vos collègues. N’oubliez pas de supprimer les droits d’accès des collaborateurs licenciés ou démissionnaires. Mettez en place un suivi de l’accès aux données et communiquez clairement les conséquences d’un abus. Exécutez des contrôles. Les personnes n’auront désormais plus d’autre choix que de suivre la politique mise en place.
Les commentaires favoris