La lo­gique pro­tec­tion­niste

Pour prio­ri­ser les don­nées, les en­tre­prises dé­fi­nissent des ‘cercles d’in­for­ma­tions’. L’es­sen­tiel des moyens hu­mains et ma­té­riels se­ra concen­tré sur la pro­tec­tion du cercle le plus sen­sible

Le Nouvel Economiste - - La Une - EZZEDINE EL MESTIRI

Les sys­tèmes d’in­for­ma­tion, au­jourd’hui au coeur de toute en­tre­prise, sont éga­le­ment au centre des pré­oc­cu­pa­tions des pi­rates. De nom­breux sec­teurs d’ac­ti­vi­té à risques es­saient de s’ap­pro­cher d’une sé­cu­ri­té in­for­ma­tique par­faite, avec la mise en place d’ou­tils de pré­ven­tion et de dé­tec­tion, tout en sen­si­bi­li­sant leurs col­la­bo­ra­teurs aux me­naces des cy­be­rat­taques. Cette dé­marche passe par une éva­lua­tion des risques, d’abord axée sur l’iden­ti­fi­ca­tion et la pro­tec­tion des don­nées sen­sibles. Une sé­cu­ri­té ef­fi­cace im­plique de bien ana­ly­ser et com­prendre l’éco­sys­tème de l’en­tre­prise, ses ac­tifs et ses ac­ti­vi­tés cri­tiques pour la pro­té­ger.

Les sys­tèmes d’in­for­ma­tion sont par­fois vic­times d’at­taques mal­veillantes, en­traî­nant des ef­fets graves, voire cri­tiques, sur la ré­pu­ta­tion et la vie éco­no­mique de l’en­tre­prise. Des études re­lèvent que les sec­teurs des ser­vices fi­nan­ciers, de la san­té, du commerce de dé­tail ou de l’en­sei­gne­ment su­pé­rieur sont les plus ex­po­sés au risque de vol de don­nées per­son­nelles. Des cy­ber­cri­mi­nels s’in­filtrent ain­si pen­dant des mois au sein d’une en­tre­prise pour col­lec­ter des in­for­ma­tions utiles, les vo­ler et les vendre.

“Les exemples sont nom­breux. Ces at­taques peuvent no­tam­ment vi­ser des en­tre­prises ayant des ac­ti­vi­tés sen­sibles à fort en­jeu de sé­cu­ri­té des biens et des per­sonnes (les tran­sports, le nu­cléaire, l’éner­gie…), constate Marc Ayadi, as­so­cié res­pon­sable de l’ac­ti­vi­té cy­ber­sé­cu­ri­té chez Ernst & Young. Dans de tels cas, l’or­ga­ni­sa­tion doit se do­ter des moyens de dé­tec­ter les si­gnaux faibles, sou­vent an­non­cia­teurs d’une cy­be­rat­taque. Les exi­gences de sé­cu­ri­té sont beau­coup plus éle­vées pour ce type d’or­ga­nismes, comme dans le sec­teur fi­nan­cier où se mul­ti­plient les ten­ta­tives de vols. Nous ne sommes pas à l’abri d’un ef­fet do­mi­no d’une at­taque ma­jeure sur les places fi­nan­cières.”

Prio­ri­tés et cercles concen­triques

Cer­tains sec­teurs d’ac­ti­vi­té à risques tentent de ren­for­cer leur

sé­cu­ri­té in­for­ma­tique. “Quand on connaît les me­naces, une sé­cu­ri­té in­for­ma­tique par­faite re­lève de l’uto­pie. En re­vanche, il est pos­sible de s’en ap­pro­cher. Pour ce­la, les en­tre­prises sé­cu­risent en prio­ri­té toutes les don­nées stra­té­giques et se tiennent prêtes en cas d’at­taques, note Be­noît Gru­nem­wald, di­rec­teur des opé­ra­tions d’Eset France. Pour prio­ri­ser les don­nées, les en­tre­prises dé­fi­nissent des ‘cercles d’in­for­ma­tions’. L’es­sen­tiel des moyens hu­mains et ma­té­riels se­ra concen­tré sur la pro­tec­tion du cercle le plus sen­sible. Cette mé­thode est dé­jà ap­pli­quée par des or­ga­nismes éta­tiques et des grands groupes.” L’ana­lyse des risques per­met, en fonc­tion de la vul­né­ra­bi­li­té du sys­tème, de pro­po­ser les so­lu­tions né­ces­saires et suf­fi­santes pour les ré­duire à un ni­veau ac­cep­table. “Un sec­teur d’ac­ti­vi­té à risques doit tout d’abord bien cer­ner son ex­po­si­tion : quels dan­gers, quels im­pacts et sur quel pé­ri­mètre, ain­si que leur pro­ba­bi­li­té de sur­ve­nance. En fonc­tion de cette ana­lyse, un plan de mi­ti­ga­tion est

En ma­tière de sé­cu­ri­té, la per­fec­tion n’est pas de ce monde. Reste l’ana­lyse de risques et la pré­ven­tion rai­son­née

éta­bli (ré­duc­tion de l’im­pact, si pos­sible de la pro­ba­bi­li­té d’ap­pa­ri­tion, trans­fert vers l’as­su­rance,…), sui­vi par des chan­tiers de mise en oeuvre, puis de contrôle per­ma­nent” re­com­mande Loïc Gué­zo, stra­té­giste cy­ber­sé­cu­ri­té Eu­rope du Sud de Trend Mi­cro. En ef­fet, l’en­jeu prin­ci­pal de la sé­cu­ri­té in­for­ma­tique consiste à bien iden­ti­fier les pé­rils, pour en­suite cher­cher à les trans­fé­rer ou à les cou­vrir par des me­sures tech­niques et or­ga­ni­sa­tion­nelles, tout en ac­cep­tant les risques ré­si­duels. “Le sys­tème d’in­for­ma­tion est un corps vi­vant qui évo­lue dans un monde dan­ge­reux, la sé­cu­ri­té par­faite est in­at­tei­gnable, pré­cise Sta­nis­las de Mau­peou, di­rec­teur conseil en cy­ber­sé­cu­ri­té et éva­lua­tion chez Thales. Cette uto­pie doit cé­der le pas au réa­lisme d’une sé­cu­ri­té adap­tée aux be­soins, eux­mêmes dé­ter­mi­nés grâce à l’éva­lua­tion des me­naces, ain­si que des ca­pa­ci­tés tech­niques, hu­maines et fi­nan­cières.” Que le sys­tème d’in­for­ma­tion soit dé­jà en place ou à construire, la mise en place d’une pro­tec­tion op­ti­male né­ces­site des com­pé­tences spé­ci­fiques et poin­tues. “Les sys­tèmes opé­ra­tion­nels im­pliquent de re­cher­cher de fa­çon pré­ven­tive les traces d’at­taque en pro­té­geant les don­nées, sans né­gli­ger la mise à jour des ap­pli­ca­tions,

“Un sec­teur d’ac­ti­vi­té à risques doit tout d’abord bien cer­ner son ex­po­si­tion : quels dan­gers, quels im­pacts et sur quel pé­ri­mètre, ain­si que leur pro­ba­bi­li­té de sur­ve­nance.” Loïc Gué­zo, Trend Mi­cro.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.