La sécurité d’un SI doit être adaptée aux risques encourus par l’entreprise. Savoir mettre en place les bonnes solutions en face des problématiques est fondamental.
Objectif : ne rien oublier.Malgré toutes les énergies déployées, chaque Responsable Sécurité de SI (RSSI) craint que survienne un jour un incident de sécurité grave. Or, on ne peut évaluer et agir que sur des risques identifiés. C’est pourquoi, les responsables de SI complexes travaillent avec la peur d’avoir oublié un élément clé (processus, acteurs…) dont les impacts peuvent avoir de graves conséquences sur les activités de l’entreprise. « Le disque dur de l’un de nos serveurs a rendu l’âme et je viens d’apprendre que nous avons perdu toutes les données s’y trouvant » regrette amèrement un RSSI d’une grande entreprise. « Et ce malgré l‘arsenal de solutions de protection que nous avons mis en place. Que puis-je faire afin de ne plus avoir ce genre de désagréments ? Je ne vais quand même pas acheter toutes les solutions du marché pour me protéger de tous les risques ! ».
Même son de cloche chez un autre RSSI qui préfère garder l’anonymat. « Après chaque audit externe que nous commanditons, de nouvelles vulnérabilités pouvant fortement impacter l’activité de notre entreprise apparaissent. Je ne sais plus où donner de la tête. Quel type de solution va me permettre de combler ce nouveau manque ? »
Ces questions, la plupart des RSSI se les posent en espérant continuellement que les derniers investissements pourront enfin amener leur SI à un niveau de sécurité acceptable pour leur entreprise. Mais comment s’y prendre ? Et par où commencer les travaux ? Face à un dédale de vulnérabilités et de solutions proposées par les vendeurs, la solution à adopter passe par une vision plus claire et plus succincte des SI.
Imaginons la sécurité d’un SI soutenue par une chaîne constituée de 5 maillons clefs (voir schéma), elle permettra de couvrir l’ensemble des aspects nécessaires à la protection de l’information puisque chaque information sensible sera mise en regard de ces 5 domaines d’analyse. De cette manière, nous avons l’assurance que chaque information sensible a bien été prise en compte lors de sa sécurisation. Une approche qui permet de n’omettre aucun aspect et de gagner en sérénité. On notera que le champ d’action de la PSSI (Politique de Sécurité des SI) de l’entreprise se doit également de couvrir ces 5 axes car elle est la ligne directrice de la gouvernance du SI. On comprend rapidement que le pré requis essentiel pour appliquer cette méthode est d’avoir effectué un inventaire complet de toutes les informations sensibles portées par le SI. Dès lors, il sera possible de cibler ces analyses afin d’appliquer la méthode à chacun des actifs identifiés. C’est en se posant systématiquement la question de la sécurité de ces 5 points que l’on obtient la garantie d’avoir couvert l’ensemble des risques. Dans la mesure où le RSSI doit justifier ses dépenses auprès du DSI, de la Direction Générale ou bien auprès d’autres instances de l’entreprise, il doit sans cesse mettre en avant : que le service (de sécurité des SI) qu’il rend a un prix non négligeable,
- et que ce service permet de pérenniser les activités de l’entreprise portées par ses différents SI. Il est important d’éviter le piège de “la sécurité aveugle” qui consiste à tout sécuriser sans avoir réellement évalué les risques existant d’une part et sans avoir établi la stratégie de traitement permettant de couvrir les plus importants de l’autre. En effet, il est primordial de prendre en compte en tout premier lieu les risques pouvant engendrer des impacts graves pour l’entreprise, même si les coûts des solutions à mettre en œuvre peuvent paraître parfois élevés. En somme : faire de la sécurité “Oui”, mais dans le but bien précis de répondre aux besoins de l’entreprise.
Il faut garder à l’esprit qu’aucune solution de sécurité ne protègera tous les éléments du SI. D’autant plus qu’elles ne suffisent déjà pas à protéger un seul élément du SI contre toutes les menaces possibles. En effet, les solutions ont toutes un spectre d’influence différent et c’est là que réside l’importance de bien dissocier ces 5 aspects stratégiques sur lesquels elles agissent afin de sécuriser de façon efficace et homogène son SI. Faire correspondre le besoin de sécurité identifié avec une solution technique demande d’avoir une vision éclairée et suffisamment d’expérience pour composer avec les différentes solutions du marché. En effet, dans cette situation il convient d’effectuer le choix le plus judicieux afin d’avoir une solution capable de couvrir plusieurs risques. Il s’agit également d’éviter de faire double emploi avec des solutions déjà implémentées dont les périmètres pourraient se chevaucher inutilement.
(5 votes)
Loading ...
