Intégrer la démarche de sécurité en amont
Avec les systèmes interconnectés, il faut investir le plus tôt possible dans la sécurité numérique, un enjeu stratégique. L’ANSSI propose une méthode d’analyse des risques.
« La cybersécurité n’est pas un coût mais un investissement », constate Ilijana Vavan, DG Europe de Kaspersky Lab, une entreprise spécialisée dans la cybersécurité depuis plus de vingt ans. En effet, les stratégies de transformation numérique conduisent les entreprises à fluidifier la circulation et le partage des données, mais cela ne doit pas être au détriment de la sécurité des systèmes d’information. Car une faille de données ou un incident de sécurité informatique peuvent limiter la volonté de transformation numérique des entreprises et, par ricochet, freiner leur capacité d’innovation et leur croissance. Le remède : intégrer la cybersécurité d’emblée à tout processus de traitement des données, afin d’assurer une protection optimale. Bien que les démarches de sécurité soient onéreuses, « ces coûts peuvent être contrôlés et planifiés, contrairement aux coûts élevés des incidents de sécurité. L’important est par conséquent d’intégrer la sécurité à chaque étape du traitement des données, que ce soit en concluant des accords de niveau de service (SLA, service level agreement) avec des fournisseurs tiers ou en choisissant des services Cloud dotés de mécanismes de chiffrement et de récupération des données appropriés », poursuit Ilijana Vavan.
Un enjeu économique et stratégique
Même son de cloche à l’ANSSI pour qui la transformation numérique bouleverse et enrichit nos activités en rendant les systèmes dont nous dépendons toujours plus évolutifs et interconnectés.
Le CLUSIF organise des formations à la méthode EBIOS.
« Des écosystèmes stimulants, mais aussi complexes et mouvants, comme le sont les menaces. La sécurité numérique devient donc un enjeu économique et stratégique », relève l’agence, qui encourage les organismes à adopter une politique de management des risques numériques complète, à l’aide d’un outil spécifique : la méthode EBIOS Risk Manager, qui fait référence en France et à l’international. Objectif : appréhender au juste niveau les risques cyber, comme le sont les risques stratégiques, financiers, juridiques, d’image ou de ressources humaines. « EBIOS Risk Manager s’inscrit dans une démarche plus globale d’anticipation collective, qui permettra d’élever le niveau de cybersécurité des organisations, en France et en Europe », confie Guillaume Poupard, directeur général de l’ANSSI.
Présentée à l’occasion des Assises de la sécurité 2018, à Monaco, la méthode implique toutes les directions métiers dans la cybersécurité, à travers la gestion du risque. Adaptée aux secteurs public et privé, quelle que soit la taille de la structure, la méthode se focalise en premier lieu sur les événements redoutés (sources de menaces, besoins de sécurité et impacts en cas de non-respect de ces besoins), puis sur les différents scénarios de menaces qui peuvent les provoquer. Les risques sont identifiés en combinant événements redoutés et scénarios, évalués et hiérarchisés ensuite. La méthode prévoit les éléments à surveiller pour chaque activité et lors de toute évolution du contexte, dans l’optique d’une amélioration continue ; en effet, la démarche doit être effectuée en amont et reproduite plusieurs fois. Le CLUSIF (Club de la sécurité de l’information français) organise des formations à la méthode EBIOS.
INFO +
La méthode EBIOS étudie le contexte, les événements redoutés, les scénarios de menaces, les risques et les mesures de sécurité.
LIRE AUSSI :
Chiffres et données clés- L’ambition ferroviaire mise à l’épreuve par la crise sanitaire
- Maîtrise de la consommation des fluides : 3 F lance un bouquet de services connectés
- L’Etat mis à l’épreuve de la pandémie du coronavirus
- Les conclusions de notre étude replacent l’habitation au cœur de l’intimité de l’habitant
- Un outil virtuel pour revenir dans le réel
- L’agriculture doit réviser ses fondamentaux
