Sécurité ICT, un avantage compétitif pour les entreprises et les communes
Nous sommes chaque jour un peu plus «connectés» à titre personnel et professionnel. Qu’il s’agisse de réserver nos prochaines vacances ou d’échanger des documents professionnels, nous échangeons de plus en plus de données, parfois sensibles, sur le réseau. Les bénéfices de notre société hyper connectée ne doivent pas nous faire oublier qu’elle présente aussi certains risques. La sécurité de l’information est une condition nécessaire pour maintenir la confiance dans les technologies numériques. Sans cette confiance, l’économie ne peut plus fonctionner. Interview de Pascal Steichen, directeur général de SMILE.
Sécurité des systèmes d’informations. Pour quoi faire?
Toute entreprise, administration ou organisation gère des données numérisées de plus en plus nombreuses: e-mails, documents de travail, fichiers clients, données comptables, etc. Ces informations peuvent avoir un caractère sensible si elles concernent la vie privée des utilisateurs d’un service. Garantir la disponibilité, l’intégrité et la confidentialité de ces données est donc primordial pour toute organisation.
Une perte ou une altération de données peut avoir des conséquences graves sur le plan opérationnel et financier. Sans compter que la réputation de l’entreprise est en jeu, dès l’instant où des données de clients (ou d’utilisateurs) sont concernées.
Sécuriser ses systèmes d’information est donc une nécessité absolue, d’abord dans un souci d’efficacité du travail et ensuite dans un souci de respect pour les personnes qui vous ont confié leurs données.
Big Data + Big Cloud = Bigger danger?
Nous traitons de plus en plus de données qui transitent sur des supports variés: mails, serveurs, PC, tablettes… Certaines données n’ont qu’un intérêt limité si on les considère isolément. Mais si elles sont comparées à d’autres données récoltées ailleurs, elles peuvent fournir des indications précises sur nos clients ou utilisateurs. C’est pour cela que toute donnée doit être protégée, même si elle n’est pas directement sensible.
La multiplication des accès aux données pose de nouveaux problèmes, surtout avec les terminaux mobiles qui peuvent engendrer des pertes ou vols de données, très facilement.
L’usage du cloud peut assurer une meilleure disponibilité des données mais peut poser d’autres problèmes en termes de confidentialité. Selon le profil du risque, différentes solutions existent pour protéger ses données. Mais il faut d’abord clairement fixer les objectifs.
Comment identifier les risques?
Identifier les risques est la première étape pour pouvoir les réduire. Il faut donc procéder à une analyse des risques, même rudimentaire.
Pour ce faire, il faut identifier les données et actifs indispensables à l’entreprise, identifier les menaces et la probabilité que celles-ci risquent de survenir, identifier l'ampleur des vulnérabilités humaines et techniques et quantifier les impacts potentiels. Cet exercice peut être plus ou moins formalisé, éventuellement soutenu par une méthode ou un outil.
Le résultat de l’analyse des risques permettra de prioriser le traitement à apporter aux risques les plus importants, afin d’améliorer progressivement la sécurité, par une saine gestion des risques.
Comment gérer les risques?
La gestion des risques est la mise en œuvre d’une approche graduelle permettant d’améliorer rapidement le niveau global de sécurité. D’une manière générale, il s’agira de mettre en place des mesures techniques ET organisationnelles qui permettront de protéger: les données, les personnes, les machines, le réseau, les accès physiques.
Le maillon faible étant souvent l’être humain, il ne faudra pas négliger la formation et la sensibilisation aux bonnes pratiques de sécurité.
Gagner en sécurité: les quick wins
Quelle que soit l’approche choisie, il est toujours avantageux d’identifier des «quick wins» (comme notamment la gestion des mises à jour, les réseaux Wi-Fi chiffrés, la gestion des mots de passe, les backups, …) que l’on peut mettre en place rapidement. Ils garantissent des résultats immédiats, peu onéreux et sont souvent de mise pour régler certains problèmes urgents, respectivement pour persuader la direction de l’importance des mesures de sécurité. Cases offre différents services aux entreprises, afin de les aider à protéger leurs systèmes d’information et à maîtriser leur sécurité. Un rapide check-up est également proposé à ceux qui veulent faire le point sur leur sécurité.
Comment l’analyse des risques peut-elle améliorer la compétitivité?
Les systèmes d’information ont profondément modifié le fonctionnement et le visage des entreprises. Les processus métiers sont rendus plus fluides et plus transparents.
L’organisation est devenue plus agile, aidée par les nouveaux moyens de communication. Les développements actuels du cloud et des télécommunications mobiles lui confèrent un don d’ubiquité. Le Web et les réseaux sociaux offrent à ceux qui veulent s’en saisir un potentiel inédit pour toucher leurs clients.
Tout ce potentiel de développement peut avoir un impact très positif sur la compétitivité de l’entreprise à condition d’en maîtriser les risques inhérents.
La multiplicité des interfaces et des situations d’utilisation des outils informatiques a augmenté les sources de risque. Les menaces se sont également développées: les cybercriminels se sont professionnalisés et l’espionnage industriel est une réalité.
Protéger l’intégrité, la disponibilité et la confidentialité de ses données, tel est devenu le défi quotidien des entreprises. Pour le relever, elle doit utiliser tout son corps: sa tête (un Responsable de la Sécurité des Systèmes d’Information formé et expérimenté), ses bras (un personnel attentif et sensibilisé aux risques IT), et ses jambes (une infrastructure IT performante et bien entretenue).