background
24.04.2023

Cybersécurité : quels enjeux pour son SI et les entreprises ?

Sécurité8 min
Cybersécurité : quels enjeux pour son SI et les entreprises ?
BlogSécurité

La cybersécurité est un enjeu crucial pour les entreprises de nos jours, qu'elles soient petites, moyennes ou grandes. Les DSI et autres pairs associés ont la lourde responsabilité de garantir la sécurité des données et des systèmes informatiques de leur entreprise. Les cyberattaques peuvent avoir des conséquences désastreuses sur les activités de l'entreprise, mais également sur sa réputation et sa crédibilité auprès de ses clients et partenaires. Quels sont les enjeux de la cybersécurité pour les DSI et les mesures qu'ils peuvent prendre pour protéger efficacement leur entreprise contre les cybermenaces ?

Parole d'expert : Bernard Barbier

Quand il se présente, Bernard Barbier estime avoir une une chance : celle d'avoir commencé dans la cybersécurité dans les années 90, à une époque où ce terme n'existait pas encore... A près de 70 ans, son expertise s'est largement développée dans le temps. Son parcours professionnel a débuté dans la recherche en nanotechnologie avant de se poursuivre au sein de la DGSE en cryptanalyse et en tant que directeur technique. Il a ensuite travaillé pour Capgemini en tant que CISO et a coordonné les efforts de cybersécurité dans plusieurs pays. A l'âge de 65 ans, il a pris sa retraite et a créé sa propre entreprise de conseil en cybersécurité, Bébé Cyber. C'est dans le cadre de cette dernière activité que nous avons eu l'occasion de l'accueillir lors d'une matinée dédiée à la cybersécurité.

Comprendre la notion du risque numérique en entreprise

Si le risque incendie est bien compris de tous, il semble que même encore aujourd’hui, le risque numérique en entreprise est une notion assez abstraite, virtuelle pourrait-on même dire. Et pourtant, c’est l’un des cœurs de la cybersécurité.

background
« Une entreprise qui veut aller dans la transformation numérique devra fondamentalement faire sa révolution et apprendre à maîtriser son risque numérique. »
Bernard Barbier

Le risque numérique est la possibilité d'un événement indésirable lié à l'utilisation des TIC, tel que des attaques informatiques et des vols de données. Pour minimiser ce risque, des mesures de sécurité telles que des logiciels de sécurité, des politiques de sécurité et une formation des utilisateurs doivent être mises en place.

Comment apprend-on à gérer ce risque numérique ? Ce doit être un investissement pour les entreprises, tant humain que fonctionnel. Il faut faire dialoguer les responsables pour connaître les menaces et les risques qui pèsent sur l’entreprise afin de savoir avec quels outils y répondre.

L’importance de la gouvernance et de l’organisation : EBIOS

Le système EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode de gestion collective de la sécurité de l'information développée par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) en France.

EBIOS est un processus itératif qui permet de définir les besoins en matière de sécurité d'un système d'information, d'identifier les risques potentiels, et de mettre en place des mesures de sécurité appropriées pour minimiser ces risques. Cette méthode est souvent utilisée pour aider les organisations à évaluer et à gérer les risques liés à leur système d'information.

Le processus EBIOS se déroule en plusieurs étapes :

  1. L'identification des objectifs de sécurité : il s'agit de définir les objectifs de sécurité du système d'information à protéger.
  2. L'analyse des menaces : cette étape consiste à identifier les menaces potentielles qui pourraient affecter le système d'information.
  3. L'analyse des vulnérabilités : cette étape consiste à identifier les vulnérabilités du système d'information qui pourraient être exploitées par les menaces identifiées.
  4. L'estimation des risques : cette étape consiste à estimer la probabilité et l'impact des risques identifiés.
  5. La définition des mesures de sécurité : cette étape consiste à définir les mesures de sécurité à mettre en place pour minimiser les risques identifiés.
  6. L'analyse de la faisabilité et de l'acceptabilité des mesures de sécurité : cette étape consiste à évaluer la faisabilité et l'acceptabilité des mesures de sécurité proposées.
  7. La mise en œuvre et l'exploitation des mesures de sécurité : cette étape consiste à mettre en place les mesures de sécurité définies et à les exploiter dans le temps.

En utilisant la méthode EBIOS, les organisations peuvent mieux comprendre les risques liés à leur système d'information et mettre en place des mesures de sécurité efficaces pour les minimiser.

Se créer une capacité de détection/réaction

Pour établir une stratégie de cybersécurité forte, les entreprises doivent donc garantir la faisabilité de 5 actions clés : identifier, protéger, détecter, répondre et être résilient.

Ces missions doivent être partagées par un ensemble d’équipes, internalisées ou non, qui sont dans l’obligation de collaborer pour assurer une pleine efficacité des moyens déployés. Aussi, on peut notamment distinguer le rôle des DSI qui sont les exploitants du numérique quand les CISO sont plutôt des contrôleurs du numérique. Mais l’un ne peut pas être à 100% efficace sans l’autre !

Il faut, par ailleurs, que les membres de la Direction s’entourent de gens de confiance. Face à une attaque, ils devront se fier à l’arbitrage de ces experts pour faire les choix les moins coûteux pour l’entreprise ciblée.

Dans son panorama des métiers de la cybersécurité, l'ANSSI recense 4 grandes typologies de métiers et de missions qui doivent cohabiter pour la réussite d'une stratégie de cybersécurité :

  1. La gestion de la sécurité et le pilotage des projets de sécurité
  2. La conception et le maintien d'un SI sécurisé
  3. La gestion des incidents et des crises de sécurité
  4. Le conseil, les services et la recherche

Etant donné qu’il est fondamental de comprendre rapidement ce qu’il se passe et réagir vite en cas de menace ou d’attaque, il faut avoir anticipé ! L’anticipation passe, entre autres choses, par le maintien en conditions opérationnelles de sécurité l’Active Directory. Un travail laborieux, certes, mais qui, s’il est fait avec régularité, limitera bien les risques pour les entreprises.

Faire le choix de prévenir plutôt que de guérir peut également être facilité/contraint (choisissez votre point de vue) par tout un ensemble de réglementations qui donnent un cadre aux entreprises. C'est le cas notamment de l'ISO 27000, une série de normes internationales qui couvrent les pratiques de sécurité de l'information. C'est également le cas de NIS2 qui vise à renforcer la cybersécurité dans l'ensemble de l'Union européenne.

Conférence cybersécurité : le replay

Pour aller plus loin dans la découverte de ces enjeux clés, voici le replay de la conférence assurée par Bernard Barbier :

Pour aller plus loin

Nos équipes peuvent vous accompagner afin de vous prémunir contre les attaques et vous épauler pour optimiser votre SI, aux côtés de vos équipes. Pour en savoir plus, contactez-nous via le formulaire ci-dessous !

background

Sewan vous accompagne

Notre équipe vous répond !

Contactez-nous
Topics de l’articleSécurité
BertinPauline

Ressources

Ressources associées

background

Téléphonie IP : la face cachée de la cybercriminalité

Sécurité6 min
background

Comment mieux accompagner les TPE et PME dans la gestion des risques cyber ? (tribune dans Les Echos)

Sécurité4 min
background

Top 5 des raisons de prendre au sérieux votre cybersécurité

Sécurité4 min
background

Summer break : n’oublions pas les bons réflexes en matière de sécurité

Sécurité8 min
Voir toutes les ressources associées
background

Sophia, la copilote des Partenaires et DSI

L’automatisation intégrée qui fait toute la différence

  1. Sewan
  2. Blog
  3. Cybersécurité : quels enjeux pour son SI et les entreprises ?