Ce site web utilise des cookies

Nous utilisons des cookies fonctionnels et analytiques pour améliorer notre site Web. De plus, des tiers placent des cookies de suivi pour afficher des publicités personnalisées sur les réseaux sociaux. En cliquant sur Accepter, vous consentez au placement de ces cookies.

Visibilité

On ne peut pas protéger

ce qu’on ne voit pas

Cloud, matériel, logiciels : pour une entreprise, le risque sécuritaire est omniprésent. Il peut aussi muer au gré du développement de l’organisation. Il est donc essentiel de garder une vue d’ensemble. “On ne peut pas protéger ce qu’on ne voit pas”, explique Stephen Corbiaux de Davinsi Labs.

Une fois la feuille de route en poche, vous pouvez élaborer une stratégie saine en matière de sécurité. Les faiblesses de l’organisation sont clairement identifiées, ce qui assure la faisabilité du plan. Si cette stratégie aide l’équipe IT, elle permet aussi de sensibiliser les collaborateurs et les décideurs. La feuille de route fournit des directives claires à vos collaborateurs et vous permet d’élaborer une politique de sécurité en béton. Une faille dans la sécurité de votre organisation pouvant coûter très cher, vous disposez des bons arguments pour libérer du budget en vue de trouver une solution. Une situation win-win pour chaque niveau de l’organisation.

5. Une feuille de route, un point de repère

4. De l’évaluation de sécurité à la feuille de route

L’évaluation constitue une base remarquable pour jalonner la feuille de route en matière de sécurité. La feuille de route vous aidera à élaborer une stratégie à long terme. La liste des priorités en constitue un élément essentiel. Lorsqu’un processus de l’entreprise est menacé en raison d’une faille de sécurité, vous évaluez les coûts de l’impact. Ces constats sont dressés sur la base des interviews et de l’analyse technique. Vous confrontez ces menaces à une liste de menaces très récurrentes dans le monde de la sécurité informatique, comme le fait la méthode de l’analyse des risques en matière de sécurité de l’information. En mettant en relation le RISQUE qu’un incident se produise à un IMPACT, vous obtenez une liste des RISQUES.

Cette méthode permet de prendre les mesures appropriées pour éviter les menaces. Ces mesures peuvent être de nature tant organisationnelle que technique. Lorsque des mesures couvrent plusieurs menaces et risques, placez-les en haut de la liste. Ce faisant, vous pourrez aussi tenir compte du budget disponible et du niveau d’ambition de votre organisation. 

L’étape suivante de l’évaluation consiste à déterminer quelles mesures de sécurité ont déjà été prises pour écarter le danger et à établir si celles-ci sont toujours suffisantes. Vous déterminez si les mesures de sécurité que vous avez prises sont toujours adaptées à l’impact des risques que vous avez réévalués.

Il est très probable que plusieurs éléments soient déséquilibrés et qu’il convienne d’y remédier. Les résultats de cette évaluation vous fournissent une base solide pour défendre de nouveaux investissements en matière de sécurité. Les résultats de l’analyse du trafic réseau y contribuent fortement ; ils indiquent noir sur blanc où résident les faiblesses.

3. Définir les mesures de sécurité

2. Détecter les faiblesses de l’architecture IT

À l’aide de la liste des risques business préalablement établie, examinez l’architecture IT et déterminez quels composants informatiques s’accompagnent de risques dont l’impact serait significatif. Pensez au réseau en tout ou en partie, aux applications business (CRM ou ERP) ou à un environnement de production doté de solutions IoT et fournissant des données des capteurs. L’intégration d’un logiciel dans le réseau peut constituer une solution dans ce contexte et permettre de contrôler et d’enregistrer le trafic réseau. Elle permet d’exposer automatiquement les risques et les faiblesses et de rassembler des preuves techniques pour soutenir un cadre théorique.

L’idéal est de commencer par déterminer les processus primaires de l’entreprise. Quels processus donnent à votre organisation une raison d’être ? Examinez les processus que vous développez et fournissez, les services que vous proposez, les clients ou groupes de clients qui génèrent le plus de valeur, les applications de l’entreprise qui soutiennent les processus primaires et les informations qui sont incontournables dans ce cadre. Réfléchissez aux conséquences que pourrait avoir une intrusion dans une base de données primaires. En calculant la probabilité d’occurrence multipliée par l’ampleur de l’impact, vous pouvez établir une sorte de classement des risques et les hiérarchiser.

1. Fixer des priorités dans la sécurité

Stephen CorbiauxSolution Lead Vulnerability Management chez Davinsi Labs

"Pour améliorer l'impact de sécurité, il faut miser sur une plus grande capacité de résistance. Et ce, en travaillant sur trois piliers: les ressources humaines, la technologie et les procédures”

Pourquoi l’utilisation de solutions cloud implique-t-elle un risque pour la sécurité ?
“Parce que le fournisseur de service cloud gère la plateforme pour vous, mais pas la sécurité. Il est facile aujourd’hui d’appliquer des solutions de sécurité prêtes à l’emploi aux services cloud. Par exemple, un système de détection d’intrusion et de réaction permet de voir qui s’est connecté à votre service cloud et à quel endroit, pour y réagir le cas échéant. Évidemment, le défi consiste à investir du temps et de l’expertise pour exploiter les alertes générées par l’environnement sécurité. C’est pourquoi les entreprises sous-traitent souvent ce volet en trouvant un partenaire qui renforce leur impact de sécurité par le biais d’un service géré.”

Case

L’ASE et Telindus repoussent les limitents de la cybersécurité

De nos jours, les systèmes spatiaux et les données, produits et services qu’ils fournissent servent de plus en plus de base aux services et infrastructures essentiels, aux communications, aux études scientifiques, à l’exploration, aux politiques et à la prise de décisions. Cette dépendance accrue de notre société fait de ces ressources spatiales des cibles d’autant plus attrayantes pour nos adversaires.

Telindus Luxembourg aide l’Agence spatiale européenne à protéger ses ressources et sa propriété intellectuelle en automatisant les tests de pénétration et en sensibilisant les utilisateurs.

Marcus Wallum, Operations Data Systems Engineer au sein de l’ESA: “L’ESA dispose d’un cadre avancé en matière de gouvernance de la sécurité, avec une traçabilité allant des règlements de haut niveau aux directives, en passant par les politiques et par leur mise en œuvre. Ce cadre inclut une accréditation et un programme de certification, le tout combiné à la désignation de responsables et à un système de management de la sécurité de l’information certifié ISO 27001.”
Malgré cette attention accrue, il y a encore beaucoup à faire. Comme sensibiliser les collaborateurs, afin que les exigences en matière de sécurité soient respectées dès le lancement du programme et de la mission et arrivent jusqu’au niveau de l’ingénierie.

“Le projet PenBox permet à des utilisateurs non spécialisés de soumettre un système à des tests de pénétration génériques de manière simple et réitérable, ce qui en réduit considérablement le coût. Les scénarios d’attaque spécifiques à une vraie mission spatiale mettent en évidence un impact potentiel sur celle-ci, ce qui fait que l’utilisateur et le propriétaire du système sont bien plus conscients du risque.”

Security Assessment : 5 étapes

Une évaluation de sécurité fournit un aperçu des éléments essentiels pour la sécurité et vous permet de contrôler et d’améliorer l’efficacité des investissements.

Vous avez besoin d'une visibilité directe du niveau de votre sécurité IT ? Il suffit de répondre à 12 questions et vous obtiendrez une vision globale de l'état de votre sécurité ainsi qu'un rapport personnalisé..

Security Maturity Quick Scan

Stephen Corbiaux

est diplômé en software engineering à l’Erasmushogeschool de Bruxelles. Il travaille au département Solution Lead Vulnerability Management chez Davinsi Labs.

Construire un réseau moderne

Stephen Corbiaux, Solution Lead Vulnerability Management chez Davinsi Labs :
“Un réseau moderne consiste aujourd’hui généralement en un environnement hybride : en partie sur place, en partie dans le cloud. 

Les jeunes organisations n’ont généralement plus d’infrastructure propre et travaillent entièrement dans le cloud. Il est impossible d’inventorier et gérer ce type d’activités de manière traditionnelle. Il n’en reste pas moins que le département IT doit aussi fournir le support nécessaire. On ne peut pas protéger ce qu’on ne voit pas. C’est pourquoi la visibilité est essentielle : pour avoir une vision des dangers possibles.”

Le terme shadow IT se réfère aux activités IT qui échappent au radar du département IT et dont ce service ne peut pas garantir la sécurité. 
Quel en est selon vous le plus grand risque ?
“Toute personne dotée d’une adresse e-mail et d’une carte de crédit peut acheter un service dans le cloud. Le danger réside surtout dans les données qui se retrouvent sur ces systèmes. Mais il est impossible pour une entreprise de tout fermer hermétiquement. Il n’y a pas de solution magique pour éviter le shadow IT. Ce qu’il faut avant tout, c’est une communication claire visant à signaler les dangers pour accroître la sensibilisation. Parallèlement, le département IT doit aussi s’interroger sur les causes de l’utilisation du shadow IT. Pourquoi utilise-t-on un serveur de fichiers en ligne ? Peut-être est-ce parce que la solution mise à disposition par l’entreprise ne répond pas à ses besoins.”

“Les risques changent au fil du temps. 
De même que la technologie et le contexte de l’entreprise. 
Tous ces éléments doivent être pris en compte pour la sécurité”

 ne voit pas

Cloud, matériel, logiciels : pour une entreprise, le risque sécuritaire est omniprésent. Il peut aussi muer au gré du développement de l’organisation. Il est donc essentiel de garder une vue d’ensemble. “On ne peut pas protéger ce qu’on ne voit pas”, explique Stephen Corbiaux de Davinsi Labs.

protéger ce qu’on

On ne peut pas 

Visibilité

Une fois la feuille de route en poche, vous pouvez élaborer une stratégie saine en matière de sécurité. Les faiblesses de l’organisation sont clairement identifiées, ce qui assure la faisabilité du plan. Si cette stratégie aide l’équipe IT, elle permet aussi de sensibiliser les collaborateurs et les décideurs. La feuille de route fournit des directives claires à vos collaborateurs et vous permet d’élaborer une politique de sécurité en béton. Une faille dans la sécurité de votre organisation pouvant coûter très cher, vous disposez des bons arguments pour libérer du budget en vue de trouver une solution. Une situation win-win pour chaque niveau de l’organisation.

5. Une feuille de route, un point de repère

L’évaluation constitue une base remarquable pour jalonner la feuille de route en matière de sécurité. La feuille de route vous aidera à élaborer une stratégie à long terme. La liste des priorités en constitue un élément essentiel. Lorsqu’un processus de l’entreprise est menacé en raison d’une faille de sécurité, vous évaluez les coûts de l’impact. Ces constats sont dressés sur la base des interviews et de l’analyse technique. Vous confrontez ces menaces à une liste de menaces très récurrentes dans le monde de la sécurité informatique, comme le fait la méthode de l’analyse des risques en matière de sécurité de l’information. En mettant en relation le RISQUE qu’un incident se produise à un IMPACT, vous obtenez une liste des RISQUES.

Cette méthode permet de prendre les mesures appropriées pour éviter les menaces. Ces mesures peuvent être de nature tant organisationnelle que technique. Lorsque des mesures couvrent plusieurs menaces et risques, placez-les en haut de la liste. Ce faisant, vous pourrez aussi tenir compte du budget disponible et du niveau d’ambition de votre organisation. 

4. De l’évaluation de sécurité à la feuille de route

L’idéal est de commencer par déterminer les processus primaires de l’entreprise. Quels processus donnent à votre organisation une raison d’être ? Examinez les processus que vous développez et fournissez, les services que vous proposez, les clients ou groupes de clients qui génèrent le plus de valeur, les applications de l’entreprise qui soutiennent les processus primaires et les informations qui sont incontournables dans ce cadre. Réfléchissez aux conséquences que pourrait avoir une intrusion dans une base de données primaires. En calculant la probabilité d’occurrence multipliée par l’ampleur de l’impact, vous pouvez établir une sorte de classement des risques et les hiérarchiser.

1. Fixer des priorités dans la sécurité

À l’aide de la liste des risques business préalablement établie, examinez l’architecture IT et déterminez quels composants informatiques s’accompagnent de risques dont l’impact serait significatif. Pensez au réseau en tout ou en partie, aux applications business (CRM ou ERP) ou à un environnement de production doté de solutions IoT et fournissant des données des capteurs. L’intégration d’un logiciel dans le réseau peut constituer une solution dans ce contexte et permettre de contrôler et d’enregistrer le trafic réseau. Elle permet d’exposer automatiquement les risques et les faiblesses et de rassembler des preuves techniques pour soutenir un cadre théorique.

2. Détecter les faiblesses de l’architecture IT

L’étape suivante de l’évaluation consiste à déterminer quelles mesures de sécurité ont déjà été prises pour écarter le danger et à établir si celles-ci sont toujours suffisantes. Vous déterminez si les mesures de sécurité que vous avez prises sont toujours adaptées à l’impact des risques que vous avez réévalués.

Il est très probable que plusieurs éléments soient déséquilibrés et qu’il convienne d’y remédier. Les résultats de cette évaluation vous fournissent une base solide pour défendre de nouveaux investissements en matière de sécurité. Les résultats de l’analyse du trafic réseau y contribuent fortement ; ils indiquent noir sur blanc où résident les faiblesses.

3. Définir les mesures de sécurité

Telindus Luxembourg est un Proximus Accelerator qui fournit des solutions globales dans le domaine des services ICT et des télécoms aux entreprises et aux services publics. Ses domaines d’expertise sont notamment la téléphonie fixe et mobile, les infrastructures ICT, le multicloud, les solutions Fintech, la cybersécurité et l’infogérance.

Telindus Pays-Bas est un Proximus Accelerator qui fournit des solutions globales dans le domaine des services ICT et des télécoms aux entreprises et aux services publics. Ses domaines d’expertise sont notamment la téléphonie fixe et mobile, les infrastructures ICT, le multicloud, les solutions Fintech, la cybersécurité et les managed services.

Davinsi Labs est un Proximus Accelerator qui aide les entreprises à exceller dans leurs services numériques grâce à des solutions spécialisées de Security Intelligence et Service Intelligence. Dans notre monde numérique, les clients attendent que leurs données soient gérées dans une sécurité optimale et souhaitent une expérience client rapide et irréprochable. En tant que Managed Services Provider, Davinsi Labs propose un éventail de solutions destinées à élever les applications et services numériques les plus critiques vers un niveau d’excellence.

Marcus Wallum nous parle de la cybersécurité dans le secteur aéronautique et du système PenBox. 


De nos jours, les systèmes spatiaux et les données, produits et services qu’ils fournissent servent de plus en plus de base aux services et infrastructures essentiels, aux communications, aux études scientifiques, à l’exploration, aux politiques et à la prise de décisions. Cette dépendance accrue de notre société fait de ces ressources spatiales des cibles d’autant plus attrayantes pour nos adversaires.

Telindus Luxembourg aide l’Agence spatiale européenne à protéger ses ressources et sa propriété intellectuelle en automatisant les tests de pénétration et en sensibilisant les utilisateurs.

Marcus Wallum, Operations Data Systems Engineer au sein de l’ESA: “L’ESA dispose d’un cadre avancé en matière de gouvernance de la sécurité, avec une traçabilité allant des règlements de haut niveau aux directives, en passant par les politiques et par leur mise en œuvre. Ce cadre inclut une accréditation et un programme de certification, le tout combiné à la désignation de responsables et à un système de management de la sécurité de l’information certifié ISO 27001.”
Malgré cette attention accrue, il y a encore beaucoup à faire. Comme sensibiliser les collaborateurs, afin que les exigences en matière de sécurité soient respectées dès le lancement du programme et de la mission et arrivent jusqu’au niveau de l’ingénierie.

“Le projet PenBox permet à des utilisateurs non spécialisés de soumettre un système à des tests de pénétration génériques de manière simple et réitérable, ce qui en réduit considérablement le coût. Les scénarios d’attaque spécifiques à une vraie mission spatiale mettent en évidence un impact potentiel sur celle-ci, ce qui fait que l’utilisateur et le propriétaire du système sont bien plus conscients du risque.”

L’ASE et Telindus repoussent les limitents de la cybersécurité

Case

Une évaluation de sécurité fournit un aperçu des éléments essentiels pour la sécurité et vous permet de contrôler et d’améliorer l’efficacité des investissements.

Security Assessment : 5 étapes

Pourquoi l’utilisation de solutions cloud implique-t-elle un risque pour la sécurité ?
“Parce que le fournisseur de service cloud gère la plateforme pour vous, mais pas la sécurité. Il est facile aujourd’hui d’appliquer des solutions de sécurité prêtes à l’emploi aux services cloud. Par exemple, un système de détection d’intrusion et de réaction permet de voir qui s’est connecté à votre service cloud et à quel endroit, pour y réagir le cas échéant. Évidemment, le défi consiste à investir du temps et de l’expertise pour exploiter les alertes générées par l’environnement sécurité. C’est pourquoi les entreprises sous-traitent souvent ce volet en trouvant un partenaire qui renforce leur impact de sécurité par le biais d’un service géré.”

“Les risques changent au fil du temps. 
De même que la technologie et le contexte de l’entreprise. 
Tous ces éléments doivent être pris en compte pour la sécurité”

Stephen Corbiaux

est diplômé en software engineering à l’Erasmushogeschool de Bruxelles. Il travaille au département Solution Lead Vulnerability Management chez Davinsi Labs.

Stephen Corbiaux, Solution Lead Vulnerability Management chez Davinsi Labs :
“Un réseau moderne consiste aujourd’hui généralement en un environnement hybride : en partie sur place, en partie dans le cloud. 

Les jeunes organisations n’ont généralement plus d’infrastructure propre et travaillent entièrement dans le cloud. Il est impossible d’inventorier et gérer ce type d’activités de manière traditionnelle. Il n’en reste pas moins que le département IT doit aussi fournir le support nécessaire. On ne peut pas protéger ce qu’on ne voit pas. C’est pourquoi la visibilité est essentielle : pour avoir une vision des dangers possibles.”

Le terme shadow IT se réfère aux activités IT qui échappent au radar du département IT et dont ce service ne peut pas garantir la sécurité. 
Quel en est selon vous le plus grand risque ?
“Toute personne dotée d’une adresse e-mail et d’une carte de crédit peut acheter un service dans le cloud. Le danger réside surtout dans les données qui se retrouvent sur ces systèmes. Mais il est impossible pour une entreprise de tout fermer hermétiquement. Il n’y a pas de solution magique pour éviter le shadow IT. Ce qu’il faut avant tout, c’est une communication claire visant à signaler les dangers pour accroître la sensibilisation. Parallèlement, le département IT doit aussi s’interroger sur les causes de l’utilisation du shadow IT. Pourquoi utilise-t-on un serveur de fichiers en ligne ? Peut-être est-ce parce que la solution mise à disposition par l’entreprise ne répond pas à ses besoins.”

Construire un réseau moderne

One magazine

Les défis de la digitalisation sont à peu près les mêmes pour toutes les entreprises. C’est pourquoi nous unissons nos forces dans un magazine actualisé : One, qui traite de l’entrepreneuriat intelligent dans un monde digital.
Plein écran