Mon compte Devenir membre Newsletters

Sécurité informatique : les règles à suivre

Publié le par

Cybercriminalité, malwares, trojans... Les risques de malveillance informatique sont nombreux pour les entreprises. Avec, à la clé, la perte de données confidentielles stratégiques ou des atteintes en termes d'image. Comment doivent-elles s'y préparer ?

Sécurité informatique : les règles à suivre

Entre 100 et 200 jours : c'est le délai de détection des virus et autres malveillances informatiques par les entreprises, selon les estimations des professionnels du secteur. Autant dire une éternité, dans un environnement IT et technologique où tout va très vite. De plus, les phénomènes du Byod ("bring your own device") et de la digitalisation ont multiplié les risques. Les entreprises sont-elles assez préparées à ces malveillances ? Sur quoi doivent-elles se montrer vigilantes ? Quels types de riposte peuvent-elles mettre en place ? " Le critère de la sécurité fait partie intégrante des projets. Ce n'est plus une option. Et dorénavant, toutes les directions métiers passent par nous avant d'utiliser un nouveau logiciel en service ", explique Alain Bouillé, président du Cesin, Club des experts de la sécurité de l'information et du numérique, et responsable de la sécurité des systèmes d'information (RSSI) d'un groupe financier. Il prône une démarche de sécurité informatique "inside" (intégrée dans les projets).

Conjuguer sécurité et innovation

C'est un fait, aujourd'hui, les DSI comme les RSSI sont écartelés entre deux objectifs contraires. D'un côté, sécuriser les données qui transitent par les systèmes d'information et, de l'autre, répondre aux demandes des directions métiers en attente d'innovation, relève une étude du Cesin. Ils sont secondés par les responsables de la sécurité des systèmes d'information (RSSI). De plus, " le phénomène de la digitalisation a entraîné l'émergence d'un nouveau métier : le chief digital officer (CDO) ", souligne le président du Cesin. Le CDO doit piloter la transformation numérique de l'entreprise. Si les RSSI sont, dans 69 % des cas, rattachés à la DSI de l'entreprise, le reste d'entre eux étant affiliés au risk manager, les CDO sont majoritairement dépendants du comité exécutif. La multiplicité des métiers et les rapports hiérarchiques différents ne simplifiant pas la tâche.

" L'implication des directeurs achats est de plus en plus nécessaire, car la sécurité ne se trouve plus uniquement à l'intérieur de l'entreprise mais aussi chez les fournisseurs."

Impliquer les directions achats

Dans une étude d'Ernest & Young de 2014 sur la sécurité des systèmes d'information, le cabinet démontre que la sensibilisation aux risques informatiques au sein des entreprises doit encore progresser. On apprend, en effet, que si 67 % des organisations sont confrontées à des menaces croissantes dans leur environnement, 37 % ne disposent pas de l'information qui pourrait les aider à combattre ces menaces en temps réel. Pour Pascal Antonini, associé EY en charge de ce rapport, il existe, en réalité, trois types de comportements bien distincts. " Ce sont les 3A : Activation, Adaptation et Anticipation. Les entreprises sont toujours dans la partie activation, c'est-à-dire qu'elles ont activé un certain nombre de processus mais n'ont pas encore intégré le fait qu'elles doivent se transformer, parce que les menaces évoluent et parce que l'environnement général a beaucoup évolué. " D'une manière générale, les entreprises leaders dans le domaine de la sécurité sont celles qui impliquent leur direction générale. Et si les directeurs achats sont membres du comité exécutif, ils seront, de fait, engagés dans la démarche. " L'implication des directeurs achats est de plus en plus nécessaire, car la sécurité ne se trouve plus uniquement à l'intérieur de l'entreprise mais aussi chez les fournisseurs. C'est là que les directions achats ont un rôle à jouer : celui de relais lors de l'acte d'achat vers le tiers qui va interagir avec l'entreprise. " Autres chiffres-clés : 53 % déclarent que le manque de ressources qualifiées au sein de leur entreprise est le principal obstacle dans l'élaboration de leur programme de sécurité de l'information. Ainsi, seulement 5 % ont une équipe d'analystes dédiés. Et la négligence de certains employés se révèle être la première source de vulnérabilité des entreprises.

Lire la suite en page 2 : Des audits de sécurité