Le Clusif (Club de la Sécurité de l’Information Français) a publié, en association avec l’Ossir (Observatoire de la Sécurité des Systèmes d’Information), un guide pratique à destination des dirigeants d’entreprises.
« Nos deux associations ont un but commun : la sensibilisation, la sécurité, nous avons voulu l’expliquer dans un langage simple, orienté métiers, nous avons souhaité aborder des thèmes qui nous semblent essentiels pour comprendre les fondements des systèmes d’information, les enjeux qui y sont liés et les risques auxquels les entreprises doivent faire face », soulignent les deux coordinateurs de ce document, Jean-Philippe Gaulier, président de l’Ossir, et Pierre Raufast, administrateur du Clusif.
L’ouvrage se décompose en trois grandes parties : « Mon entreprise », « L’entreprise interconnectée » et « Gouvernance et confiance numérique ». Les auteurs expliquent d’abord pourquoi une entreprise peut devenir une cible, via la cybercriminalité (arnaques, chantage, vols…), la malveillance par négligence de la part des collaborateurs ou des partenaires, l’atteinte à l’image (campagnes de déstabilisation), l’espionnage et le sabotage. On le voit, les raisons ne manquent pas.
Face à ces risques, quatre stratégies sont possibles : l’évitement, en supprimant l’activité ou la condition qui mène au risque, le transfert de risque (par exemple vers un assureur), le renforcement des mesures techniques (investissements en ressources et solutions de sécurité) et l’acceptation du risque qui peut se traduire, par exemple, par des provisions financières afin de faire face aux dégâts éventuels. Dans tous les cas, « une cartographie des risques et des plans de mitigation est essentielle. Tous les acteurs, métiers et techniques doivent contribuer à la définition de ces documents et à leur mise à jour », soulignent les auteurs.
Ils abordent les cinq problématiques d’entreprise qui, toutes, présentent des risques : le courrier électronique, le BYOD (Brign Your Own Device) et le ATAWAD (Any Time, Anywhere, Any Device), les accès distants, l’annuaire d’entreprise, le cycle de vie des technologies. Pour chaque thématique, les auteurs proposent une définition, mettent en exergue les enjeux métier, ainsi que les risques pour l’entreprise. Outre un glossaire bien utile, l’ouvrage contient également un test, basé sur une trentaine de questions pour lesquelles le lecteur note de 0 à 5 son niveau de connaissance.
Par exemple : À quand remonte votre dernier audit de sécurité de l’annuaire ? Quel est l’âge de votre application la plus ancienne et quel est son coût de maintien en condition opérationnel ? Combien de jours votre entreprise peut-elle fonctionner sans informatique ? Connaissez-vous le nombre exact de services cloud utilisés par votre entreprise ? Quelqu’un le sait-il vraiment ?…
Ce document est téléchargeable gratuitement sur les sites du Clusif (https://clusif.fr) et de l’Ossir (https://ossir.org).
La cybersécurité à l’usage des dirigeants, Clusif, Ossir, 82 pages.