La sécurité numérique d’une entreprise, c’est l’ensemble des petites actions posées dans le cadre d’un mandat en cybersécurité. Pour décrire simplement le concept, la sécurité numérique consiste à protéger adéquatement les actifs qui permettent à une entreprise d’opérer et de générer des revenus.
Évidemment, c’est en lien direct avec la catégorisation des actifs, principe que nous avons abordé dans notre précédent article pour ce journal.
La première étape pour une bonne sécurité numérique d’une entreprise: un audit de votre posture de sécurité
Bien entendu, il n’y a pas une recette préfabriquée lorsqu’on parle de sécurité numérique : tout doit être pensé et adapté pour chaque entreprise. Une stratégie personnalisée qui répond aux besoins d’affaires en fonction de l’activité commerciale de chacune est nécessaire. Pour ce faire, on procède à ce qu’on appelle un « audit de la posture de sécurité ».
Quand on fait un audit, on réussit à déterminer la vulnérabilité de vos systèmes opérationnels. En d’autres mots, la posture de sécurité nous indique dans quel état de sécurité évoluent vos logiciels et vos processus d’affaires.
On vous posera quelques questions *clés surtout pour avoir une idée de la posture de sécurité de votre organisation :
- Quelles sont les protections en cybersécurité en place au sein de votre entreprise ?
- Avez-vous déjà réalisé des tests d’intrusion ? À quand remontent-ils ?
En combinant l’audit à la catégorisation de vos actifs, vous obtiendrez des réponses sur les bonnes pratiques. En outre, à adopter en fonction de votre appétence au risque et de vos besoins d’affaires. La mise en place d’un plan d’action est ensuite nécessaire. Surtout pour déployer de nouvelles politiques afin d’améliorer la sécurité numérique de votre entreprise.
Sur quoi se base-t-on pour déterminer si une entreprise est sécuritaire ?
Bien entendu, l’audit pour évaluer la posture de sécurité est fait en fonction des normes en vigueur et des standards de l’industrie. C’est important que la sécurité numérique d’une organisation soit conforme. Dans le cas contraire, des pénalités pouvant aller jusqu’à plusieurs millions de dollars sont à prévoir.
Mais, qu’est-ce que la conformité ?
La conformité de votre sécurité numérique s’appuie sur les bonnes pratiques et sur les obligations légales. L’ISO 27021 est une norme internationale qui regroupe de grandes familles de contrôles de sécurité pour mener les entreprises jusqu’à la conformité.
Un exemple très actuel est le projet de loi 64 qui vise à moderniser la façon dont les entreprises gèrent les données de leurs clients au Québec. Les organisations devront s’adapter et mettre en place de nouvelles politiques et de nouvelles mesures de protection afin de se conformer à la nouvelle loi.
Pourquoi et comment mettre en place de nouvelles politiques de sécurité ?
Après avoir procédé à un audit de votre posture de sécurité, vous connaîtrez le positionnement actuel de votre organisation. Surtout en ce qui concerne la sécurité, mais aussi, le positionnement voulu. Pour arriver à votre idéal « cybersécuritaire », il faut poser des actions concrètes.
La première action est de vous doter d’une politique de sécurité que vous respecterez. Celle-ci contiendra différentes informations accessibles à vos utilisateurs et partenaires concernant l’utilisation des données au sein de votre entreprise. Votre politique doit avoir des points clairs et précis sur votre fonctionnement et votre gestion des données. Mais aussi, sur la façon dont vous gérerez une potentielle cyberattaque.
Votre politique de sécurité devra être lue et signée par vos employés, qui s’engagent ainsi à la respecter et même à la mettre en pratique. Elle devra aussi être lue et signée par vos partenaires et leurs employés avec lesquels vous partagez certaines données. Inscrivez surtout cette clause dans votre contrat de travail afin de vous assurer de son respect.
Pourquoi ?
Puisqu’on a souvent vu des histoires d’horreur et de fuite de données de la part de partenaires qui étaient mal protégés. Un exemple connu concerne la multinationale Wal-Mart et son service d’impression photo. En 2015, l’entreprise Wal-Mart a dû faire un mea culpa sur la place publique et annoncer que les informations de ses clients qui utilisent la plateforme d’impression d’images ont été piratées.
Par contre, et retenez bien ceci : l’entreprise Wal-Mart n’a jamais été piratée dans cette histoire.
C’est son partenaire, un sous-traitant, qui a été attaqué. Par ce que les pirates informatiques ont réussi à entrer dans le système du sous-traitant. Probablement peu sécurisé, afin de retrouver les données partagées par Wal-Mart, comme les numéros de cartes de crédit des clients.
En conséquence, les cyberattaques d’une entreprise sont souvent le résultat d’une division mal sécurisée et mal protégée. D’où l’importance de vous doter d’une politique de sécurité et de la faire signer contractuellement par vos partenaires.
C’est un sujet assez complexe merci, on ne se racontera pas de mensonges. L’important, c’est d’y aller étape par étape. La première, c’est de faire un audit de la posture de sécurité de votre organisation. Une fois que c’est fait et que vous avez obtenu un plan d’action, mettez-le en branle immédiatement ! Incorporez des politiques de sécurité pour protéger vos actifs informationnels.
Finalement un point important est particulièrement la sensibilisation de vos employés à la sécurité numérique. C’est derniers doivent avoir une meilleure idée des actions qu’ils posent lorsqu’ils visitent des sites ou bien qu’ils lisent un courriel.
En conclusion, contactez notre équipe d’experts chez Lambda si vous avez des questions sur votre posture de sécurité, c’est avec plaisir que nous y répondrons !
*À ne pas confondre avec des questions pièges
