Comment évaluer le risque cyber d’une entreprise à géométrie variable ?
May 23 2024 - 6:30AM
Comment évaluer le risque cyber d’une entreprise à géométrie
variable ?
De nos jours, pour une entreprise, assurer sa
sécurité informatique est devenu un sport collectif où tous ses
partenaires et ses fournisseurs doivent mouiller le maillot pour
vaincre la cybermenace.
Dans un monde où les frontières numériques
s'estompent entre les différents acteurs de l’économie, les données
circulent tous les jours et les collaborations avec des tiers se
multiplient constamment. Dans ce contexte, le périmètre que doit
protéger une entreprise n’est plus à considérer comme un bloc
solide et inerte, mais plutôt comme un flux s’étendant dans
diverses directions simultanément.
Assurer la sécurité d’un système d’information
mouvant sur lequel reposent ses données et ses services s’avère
être le défi crucial auquel sont confrontés les Responsables de la
sécurité des Systèmes d’Information des entreprises d’un nouveau
genre, dites étendues[1].
La digitalisation et l’externalisation de tout ou
partie des moyens de production, des canaux de vente et bien
d’autres organes structurant pour une entreprise, ont profondément
changé le profil informatique des organisations. Ce dernier est
passé d’un bloc monolithique à un patchwork IT constitué d’un bout
de système d’information local, d’une multitude d’environnements
Cloud, de systèmes mutualisés et autres applications fournis par
des tiers, faisant ainsi reposer les processus clé de l’entreprise
sur des environnements plus ou moins maîtrisés par
celle-ci.
Chaque entreprise doit considérer son écosystème
numérique dans le cadre de sa stratégie de protection. Ainsi,
chacun de ses tiers doit être considéré en fonction de son
importance dans sa chaîne de valeur. Pour cela, voici une
approche en trois étapes :
- Identifier
ses activités métier clé et les données qui en dépendent
- Identifier les tiers
qui sont impliqués dans ses activités clé ou qui disposent de ses
informations sensibles
- Évaluer de manière
continue et proportionnée le niveau de sécurité de chacun de ses
tiers
-
Identifier ses activités métier clés et les données qui en
dépendent
L’entreprise doit avant tout être consciente des
activités et des données qui sont essentielles pour son bon
fonctionnement. L’exercice d’inventaire des actifs de l’entreprise
est indispensable et systématique. Cela permet d’identifier à tout
moment si les éléments qui sont ainsi reconnus comme importants
sont correctement protégés.
-
Cartographier son écosystème
L’entreprise doit être capable de savoir quels
sont les tiers qui interviennent sur ses activités clé ou qui
disposent de ses données sensibles. Pour cela, il est
recommandé de compléter l’analyse d’impact métier par une
cartographie des interactions existantes avec des partenaires et
des fournisseurs, ce afin d’apprécier l’impact que peut représenter
la défaillance de l’un deux.
En effet, certains processus clé de l’entreprise
peuvent être assurés par un tiers, ce qui rendrait l’entreprise
tributaire de sa fiabilité.
-
Évaluer ses tiers de façon continue et
proportionnée
L’entreprise doit être en mesure d’avoir une idée
précise du niveau de sécurité de chacun de ses tiers à tout moment
pour savoir où et quand elle doit mettre en œuvre une solution
palliative pour limiter le risque que pourrait représenter la
défaillance de l’un d’entre eux.
Pour que cette approche soit économiquement
viable, l'automatisation est essentielle. Une évaluation continue
et adaptée à la criticité de chacun des tiers doit être mise en
place, s'appuyant sur des données actualisées en temps réel pour
refléter au mieux la réalité du terrain.
Traditionnellement, le risque cyber est évalué de
manière ponctuelle, au mieux une fois par an ; cela ne suffit plus
dans un environnement où les menaces évoluent chaque jour. Le
véritable enjeu est de passer à une évaluation dynamique et
continue, où chaque mouvement des acteurs de l’écosystème de
l’entreprise est observé et analysé pour anticiper les
attaques.
En conclusion, la sécurité des entreprises ne
dépend plus uniquement de leurs propres défenses, mais aussi de
celles de leurs partenaires. C’est le collectif qui doit
gagner ! Et pour cela, adopter une approche dynamique et
collaborative est indispensable. Cette démarche doit pouvoir
s’appuyer sur des outils adaptés pour relever ce défi et assurer la
protection des entreprises dans un monde numérique en constante
évolution.
Olivier PATOLE, Président de Trustable