Les organisations, quelle que soit leur forme (association, entreprise privée ou publique …), disposent aujourd’hui d‘un Système d’Information de plus en plus automatisé.

Par souci de productivité, de confort, ou par effet de mode, l’une après l’autre, les fonctions « métier » sont automatisées.

Par ailleurs, avec l’ouverture des réseaux, notamment via Internet, les organisations sont de plus en plus interconnectées entre elles. Par exemple une entreprise communique sous forme électronique avec ses clients, avec ses fournisseurs, avec les organismes de protection sociale, les banques etc.

Cette évolution rend les organisations de plus en plus dépendantes de leur système d’information. 

Cette dépendance peut aller jusqu’à compromettre l’existence même d’une entreprise, en cas de sinistre majeur, ou en cas d’incidents graves et répétés, si ses processus stratégiques sont dépendants du bon fonctionnement de l’informatique par exemple :

  • L’indisponibilité d’un site de vente en ligne a pour effet une baisse immédiate du chiffre d’affaires.
  • Une intrusion sur votre système permettant l’accès à votre base clients et sa divulgation sur internet pourra compromettre votre action commerciale.
  • Les informations confidentielles circulant sur les réseaux peuvent être interceptées.
  • Votre activité pourra-t-elle se poursuivre après un sinistre majeur rendant indisponible votre site ou votre salle informatique ? …Pour mémoire, de nombreuses statistiques montrent qu’une entreprise sur trois dépose le bilan après un sinistre majeur ayant détruit son site informatique.

 

Evaluer les risques auxquels l’entreprise est exposée, puis les traiter

Ne pouvant traiter à 100% tous ces risques, les organisations doivent les identifier, les évaluer et les prioriser puis investir de manière rationnelle et pertinente pour couvrir les risques en regard des enjeux réels pour l’organisme.

La norme ISO 27005 (« Gestion du risque en sécurité de l’information ») fournit un descriptif pragmatique, élaboré avec le concours de professionnels expérimentés provenant de différents secteurs. Plusieurs méthodes sont à disposition des entreprises, telles que EBIOS ou MEHARI par exemple, pour mettre en place un processus de management des risques. Ces méthodes ont évolué pour se mettre en conformité avec la norme ISO 27005. 

En effet, chaque organisme, en fonction des ses contraintes propres (budgets, ressources, environnement...), décidera des risques à couvrir et des solutions à mettre en œuvre.

Il faudra ensuite

  • veiller à la pérennité et à l’adaptation des mesures de sécurité déployées,
  • détecter l’apparition de nouveaux risques, dus à de nouvelles menaces, de nouvelles activités, des changements technologiques etc.
  • traiter les incidents de sécurité
  • évaluer et le cas échéant traiter ces nouveaux risques s’ils sont jugés inacceptables
  • réévaluer les risques déjà identifiés et les solutions apportées.
    Par exemple,
    - je n’ai probablement plus besoin des mêmes mesures de sécurité si j’ai déplacé les locaux informatiques depuis mon siège, jusque chez un fournisseur externe.
    - en décidant d’équiper tous mes collaborateurs d’ordinateurs portables pour faciliter le télétravail, je devrai reconsidérer les risques de vol, d’atteinte aux données ….
  • ...

 L’entreprise est un monde vivant, évoluant dans un environnement en perpétuel mouvement : les menaces, les types d’agresseurs, les solutions, les technologies, les activités même de l’entreprise, évoluent.

C’est la raison pour laquelle le management de la sécurité est un processus récurrent, basé sur le management des risques.

                                                                 

Les dirigeants des PME sont presque toujours absorbés par leur passion de créer et développer leur entreprise. Cette passion « entrepreneuriale » laisse souvent peu de place à la prise en compte des besoins en matière de Sécurité des Systèmes d’Information.

Ceci en raison également des difficultés

  • à appréhender le Système d’Information, composé souvent de sous-systèmes      hétérogènes et indépendants,
  • à appréhender la valeur des actifs notamment informationnels, les risques      auxquels ce système est exposé,
  • à associer les risques du Système d’Information aux risques business de leur      entreprise,
  • à absorber les coûts des prestations d’accompagnement et des solutions à      mettre en œuvre pour sécuriser le système d’information.

 

Selon une enquête de l’ENISA … Beaucoup de responsables de PME n’ont pas connaissance de l’existence des normes sur la Sécurité et pensent parfois que la sécurité de l’information se résume à des interventions techniques destinées à faire face aux menaces de virus et à mettre en place des sauvegardes de données.

Or, les menaces accidentelles représentent des risques importants pour la sécurité de l’information des PME, et pourtant les programmes de sensibilisation et de formation du personnel dans ce domaine sont souvent négligés.

De nombreux dirigeants de PME pensent qu’ils ne sont pas exposés aux risques évoqués, en raison de la taille réduite de leur entreprise et du nombre limité d’informations qu’ils utilisent.

Cependant, la sensibilité de l’information dépend de la nature et non de la quantité de l’information. Par ailleurs, les nouvelles technologies permettent aux petites entreprises d’utiliser les mêmes systèmes d’information que les grandes entreprises. Les PME sont de ce fait exposées aux nombreux risques qui étaient traditionnellement associés aux grandes entreprises, sans pour autant avoir les mêmes moyens pour les contrer.

C’est la raison pour laquelle des initiatives de plus en plus nombreuses voient le jour souvent sous l’impulsion d’organismes locaux soutenus par les régions ou les départements.

Les Chambres de Commerce et d’Industrie s’impliquent souvent dans ce domaine. Des programmes sont ainsi lancés, visant à sensibiliser ces publics, à former des « pilotes sécurité » dans les PME, capables de conduire une analyse de risques « simplifiée » et de mettre en œuvre un « plan de sécurité minimal ».

 

L’ENISA a également produit une plaquette d’information permettant aux PME d’effectuer une évaluation des risques de leur environnement, de sélectionner et d’appliquer les mesures adaptées pour gérer les risques liés à la sécurité de l’information. 

Enfin, le CLUSIF met également à disposition des entreprises une version plus « accessible » de MEHARI, permettant un démarrage plus rapide et pragmatique du processus de management des risques.

 

En synthèse …

Le management des risques, l’implication de la Direction, une organisation affichant clairement les responsabilités en matière de sécurité de l’information, sont quelques facteurs clé de réussite d’un processus de management de la sécurité de l’information.

Une communication et des actions de sensibilisation ou de formation favoriseront le déploiement d’une « culture sécurité » dans l’organisme. Cette culture vise à faire prendre conscience que chacun a un rôle à jouer pour contribuer à atteindre et à pérenniser le niveau de sécurité de l’organisme.

La norme ISO 27001 (Système de gestion de la sécurité de l’information), préconise également d’élaborer une Politique sécurité, basée sur l’analyse de risques, puis après la mise en œuvre des solutions et processus de sécurité, de veiller à mettre en place un système d’évaluation de la performance de ce dispositif, et d’amélioration continue des processus.