Par Romain Vvergniol,
Directeur Cybersécurité, Groupe Cegedim
Faire le point chaque
année sur sa stratégie de cybersécurité est désormais un impératif stratégique
pour l’ensemble des organisations. En effet, pour se protéger de menaces
toujours plus complexes, les entreprises de toutes tailles se doivent de mettre
en œuvre des dispositifs efficaces qui leur permettront de limiter leur
exposition aux cyber risques. Dans ce contexte, la rentrée est un bon moment
pour prendre le temps nécessaire afin d’analyser l’existant et de définir les
évolutions à venir pour renforcer sa gouvernance cyber (moyens nécessaires,
actions à mettre en place…).
- Se baser sur une
analyse du risque objective
En ce sens, il faut
prendre en considération toutes les composantes propres à l’organisation,
existantes à l’instant T, et y intégrer les éventuels nouveaux périmètres et
opérations qui ont pu faire évoluer le schéma existant (rachats d’entreprises,
nouvelles organisations, déménagements…). Le contexte externe doit également
être évalué : évolution de la menace cyber, des règlementations et des
évènements géopolitiques. Il est alors possible d’avoir une cartographie
concrète et actualisée des nouveaux risques et d’identifier les plus sensibles.
Pour mener à bien cette tâche, les RSSI peuvent s’appuyer sur des schémas
éprouvés à l’image de la méthode EBIOS Risk Manager de l’ANSSI qui permet
d'apprécier les risques et d'identifier les mesures de sécurité à mettre en
œuvre pour les maitriser. On notera enfin qu’il est important de prendre en
considération la dimension sectorielle et contextuelle propre à chaque
entreprise pour être parfaitement exhaustif.
- Intégrer la
composante humaine
À l’occasion du mois de
la cyber en octobre, il est opportun de prendre le temps de sensibiliser tous
les collaborateurs aux sujets de la cybersécurité afin qu’ils puissent intégrer
les bons réflexes et les bonnes pratiques à adopter dans des situations diverses
: ne pas cliquer sur certains liens, être vigilants dans différents cas
d’usage… Des campagnes de sensibilisation dans plusieurs formats peuvent ainsi
être proposées et adaptées au profil des équipes. Cette étape de
sensibilisation est un maillon central d’une bonne gouvernance cyber.
Toujours au niveau des
équipes, la rentrée est le bon moment pour évaluer et budgéter précisément les
nouvelles ressources dont aura besoin l’entreprise sur les prochains mois :
embauche de nouveaux talents, recherche de support en externe sur certains profils…
Ces demandes doivent s’appuyer sur l’analyse de risque préalablement réalisée.
- Tester la résilience
de son infrastructure et de son SI
Enfin, une autre
mesure, à prendre en compte, consiste à faire le point sur son Plan de
Continuité d’Activité (PCA) et de le tester via des exercices pour s’assurer
que les services et activités critiques pourront toujours être opérationnels en
cas de crise. Il est donc vital de s’assurer que ce point soit maitrisé et que
les équipes en charge de le gérer soient formées et rompues à l’exercice.
Ces trois points structurants sont donc les actions fondamentales à adopter pour faire évoluer son dispositif et s’assurer que son organisation puisse s’appuyer sur une gouvernance cyber actualisée et adaptée à son organisation.