La sécurité et la gestion des risques

Cybersécurité : gouvernance et triade CIA

Les organisations doivent adopter une posture de sécurité, c’est-à-dire garantir que leur système d’information, leur matériel et leurs données sont bien protégés contre les menaces, dans le respect de la législation. Ceci implique l’identification des risques, leur évaluation et leur réduction.

Selon la certification CISSP, les éléments de sécurité et de gestion des risques constituent le premier domaine de la cybersécurité.

 

La gouvernance de la sécurité de l’information

La gouvernance de la sécurité de l'information désigne l'ensemble des cadres, politiques et processus permettant de garantir que les pratiques de sécurité d'une organisation sont alignées sur ses objectifs stratégiques. Ceci inclut la définition d’une vision stratégique, l’établissement de priorités et la mise en œuvre d’une structure de gouvernance pour superviser les activités liées à la cybersécurité.

Les acteurs sont la direction générale, le responsable de la sécurité (CISO) mais aussi l’ensemble des collaborateurs qui doivent être sensibilisés aux enjeux de la sécurité.

La gouvernance repose sur des politiques qui déterminent les lignes directrices. Ce sont des documents qui définissent les attentes en matière de sécurité. Ils servent de guide pour les salariés et autres parties prenantes. Il existe une politique au niveau de l’entreprise et des normes qui décrivent les spécifications techniques (certaines d’entre elles étant internationales).

  • Les politiques d’utilisation acceptable (PUA) décrivent les règles et comportements admis quant à l’utilisation des réseaux, matériels et logiciels (identification des ressources, autorisations et interdictions, sanctions, engagement à respecter les règles).

  • Les politiques de confidentialité des données qui doivent, pour être conformes au RGPD, inclure des informations sur les pratiques de collecte et de traitement des données, obtenir le consentement des utilisateurs, garantir leurs droits (accès, rectification, effacement) et s’appuyer sur des protocoles de protection des données.

  • Les cadres de gouvernance (COBIT, la norme internationale ISO/IEC 27001 ou encore le NIST CSF).

    COBIT fournit un ensemble de bonnes pratiques, de principes et d'outils pour aligner les technologies de l'information (TI) avec les objectifs stratégiques de l'organisation. COBIT repose sur plusieurs composants : des principes de gouvernance des TI, une division des processus en plusieurs domaines, des objectifs de gestion et de gouvernance, ainsi que des guides pratiques.

Une procédure est une liste d’étapes visant à réaliser une tâche.

 

Les concepts fondamentaux de la gestion de risque

Les éléments du risque sont la menace, la vulnérabilité et les conséquences d’un incident. Le processus de gestion du risque est le suivant :

  • Identification des actifs critiques et classement selon leur importance.

  • Analyse des menaces (internes et externes) et des vulnérabilités (décelées par des audits).

  • Évaluation des risques en fonction de la probabilité de l’impact (y compris en termes financiers).

  • Réponses à apporter : mesures de sécurité (antivirus…), acceptation des risques mineurs, souscription à une assurance, arrêt d’une activité risquée…

  • Surveillance et révision (évaluation continue, suivi avec des tableaux de bord…).

surveillance

 

La conformité légale et réglementaire

Depuis 2018 la législation de l’Union européenne est contenue dans le RGPD (règlement général sur la protection des données).

Son objectif principal est de renforcer la protection des données personnelles et d'harmoniser les pratiques entre les États membres. Il impose des obligations aux entreprises et organismes traitant ces données, comme le consentement explicite des utilisateurs, la transparence sur l'utilisation des informations et le droit à l'oubli. Le non-respect peut entraîner de lourdes sanctions financières. Le RGPD est devenu un standard mondial, incitant de nombreux pays à adopter des lois similaires pour mieux encadrer la gestion des données personnelles.

 

La gestion de la sécurité des tiers

Les organisations sont liées à des tiers, en particulier des fournisseurs. Ces relations introduisent des risques supplémentaires, notamment le vol de données ou les interruptions de service.

Les étapes de la gestion de la sécurité des tiers sont les suivantes :

  • Évaluation des risques tiers, c’est-à-dire l’analyse de leurs pratiques de sécurité.

  • Contrats et accords qui intègrent des clauses spécifiques. Exemple : accords de non-divulgation (NDA).

  • Surveillance continue, notamment en effectuant des audits réguliers.

 

Éthique et responsabilité

Les professionnels doivent respecter un code de déontologie qui repose sur la protection de l’organisation, l’honnêteté, l’équité et la fourniture de prestations dans l’intérêt des clients.

Les problèmes habituels sont l’utilisation abusive d’informations sensibles, la négligence dans la protection des données et la mauvaise gestion des violations de sécurité.

 

La triade CIA

Le modèle CIA apporte une aide aux organisations lors de l’élaboration de leur politique de sécurité.

Il comporte trois éléments.

  • La confidentialité : seuls les utilisateurs autorisés ont accès aux informations. Le principe du moindre privilège est la limitation d’accès aux seules informations qui sont nécessaires à l’utilisateur dans le cadre de son travail.

  • L’intégrité : la cryptographie est l’un des moyens de vérifier l’exactitude, l’authenticité et la fiabilité d’une donnée. Le chiffrement est la conversion d’un format lisible en format codé.

  • La disponibilité : les données doivent être accessibles aux utilisateurs autorisés. Par exemple, en cas de télétravail, l’employé doit avoir les mêmes accès que depuis son lieu de travail.

Il faut trouver un équilibre entre ces trois principes. En particulier, la disponibilité ne va pas dans le même sens que la confidentialité !

 

La continuation de l’activité

Pendant et après un incident, il faut éviter de bloquer l’activité de l’organisation.

En effet, une violation de sécurité ou un incident peut entraîner des répercussions importantes. La gestion des risques inclut donc la préparation aux incidents.

La gestion des incidents comprend deux volets.

  • Le plan de continuité d’activité (PCA) identifie les processus critiques pour l’organisation et développe des plans pour maintenir les activités essentielles en cas d’incident.

  • Le plan de reprise après sinistre (DRP) définit les modalités de retour à l’état normal après un évènement grave.

 

posture de sécurité