12 septembre 2018

[Compliances] La nécessité d’une approche systémique de la cybersécurité

Par Vincent Riou, directeur Cybersécurité de CEIS

Voici un an, les attaques majeures WannaCry et NotPetya ont défrayé la chronique par l’ampleur de leur propagation. Mais elles ne sont que la partie visible d’un phénomène inéluctable : la numérisation de l’économie engendre la numérisation du crime. Combien de sociétés se font-elles dérober des données sensibles sans même s’en apercevoir, faute d’une organisation et de moyens adaptés ? La plupart des actions cyber-malveillantes ne font pas la une des journaux, et beaucoup ne sont même pas détectées par les entreprises ciblées. L’entrée en vigueur du RGPD introduit — dans son article 32 — la responsabilité de mettre « en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque». Certes, la cybersécurité nécessite des moyens supplémentaires. Mais quel est le prix de l’insécurité ?

Identifier et caractériser le risque cyber

Une des conséquences du RGPD est de pousser les entreprises à mieux prendre conscience du risque qui pèse sur leurs données sensibles. Il convient, au départ de toute démarche de sécurisation de son environnement informatique, de mener une analyse des risques, afin de cerner les priorités et de mieux établir ses besoins en solutions et services, ainsi que le budget sous-jacent. Cette analyse doit permettre de répondre aux questions stratégiques suivantes : qui est susceptible de s’en prendre à moi ? comment ferait-il ? s’il réussissait, quel serait l’impact ?

Une méthode comme EBIOS, élaborée et maintenue par l’ANSSI, permet une approche complète du sujet. Cette analyse permet d’avoir une vision des risques cyber modulée par les impacts sur le métier, et l’impérieuse nécessité de ne pas dégrader la qualité du service apporté à ses clients tout en renforçant la sécurité de leurs données. La sécurité devient alors un argument positif dans un contexte concurrentiel : faites-moi confiance, vos données sont protégées.

Pour lire la suite : https://medium.com/compliances/la-n%C3%A9cessit%C3%A9-dune-approche-syst%C3%A9mique-de-la-cybers%C3%A9curit%C3%A9-348ccc336d5a