Une fois la feuille de route en poche, vous pouvez élaborer une stratégie saine en matière de sécurité. Les faiblesses de l’organisation sont clairement identifiées, ce qui assure la faisabilité du plan. Si cette stratégie aide l’équipe IT, elle permet aussi de sensibiliser les collaborateurs et les décideurs. La feuille de route fournit des directives claires à vos collaborateurs et vous permet d’élaborer une politique de sécurité en béton. Une faille dans la sécurité de votre organisation pouvant coûter très cher, vous disposez des bons arguments pour libérer du budget en vue de trouver une solution. Une situation win-win pour chaque niveau de l’organisation.

5. Une feuille de route, un point de repère

4. De l’évaluation de sécurité à la feuille de route

L’évaluation constitue une base remarquable pour jalonner la feuille de route en matière de sécurité. La feuille de route vous aidera à élaborer une stratégie à long terme. La liste des priorités en constitue un élément essentiel. Lorsqu’un processus de l’entreprise est menacé en raison d’une faille de sécurité, vous évaluez les coûts de l’impact. Ces constats sont dressés sur la base des interviews et de l’analyse technique. Vous confrontez ces menaces à une liste de menaces très récurrentes dans le monde de la sécurité informatique, comme le fait la méthode de l’analyse des risques en matière de sécurité de l’information. En mettant en relation le RISQUE qu’un incident se produise à un IMPACT, vous obtenez une liste des RISQUES.

Cette méthode permet de prendre les mesures appropriées pour éviter les menaces. Ces mesures peuvent être de nature tant organisationnelle que technique. Lorsque des mesures couvrent plusieurs menaces et risques, placez-les en haut de la liste. Ce faisant, vous pourrez aussi tenir compte du budget disponible et du niveau d’ambition de votre organisation. 

L’étape suivante de l’évaluation consiste à déterminer quelles mesures de sécurité ont déjà été prises pour écarter le danger et à établir si celles-ci sont toujours suffisantes. Vous déterminez si les mesures de sécurité que vous avez prises sont toujours adaptées à l’impact des risques que vous avez réévalués.

Il est très probable que plusieurs éléments soient déséquilibrés et qu’il convienne d’y remédier. Les résultats de cette évaluation vous fournissent une base solide pour défendre de nouveaux investissements en matière de sécurité. Les résultats de l’analyse du trafic réseau y contribuent fortement ; ils indiquent noir sur blanc où résident les faiblesses.

3. Définir les mesures de sécurité

2. Détecter les faiblesses de l’architecture IT

À l’aide de la liste des risques business préalablement établie, examinez l’architecture IT et déterminez quels composants informatiques s’accompagnent de risques dont l’impact serait significatif. Pensez au réseau en tout ou en partie, aux applications business (CRM ou ERP) ou à un environnement de production doté de solutions IoT et fournissant des données des capteurs. L’intégration d’un logiciel dans le réseau peut constituer une solution dans ce contexte et permettre de contrôler et d’enregistrer le trafic réseau. Elle permet d’exposer automatiquement les risques et les faiblesses et de rassembler des preuves techniques pour soutenir un cadre théorique.

L’idéal est de commencer par déterminer les processus primaires de l’entreprise. Quels processus donnent à votre organisation une raison d’être ? Examinez les processus que vous développez et fournissez, les services que vous proposez, les clients ou groupes de clients qui génèrent le plus de valeur, les applications de l’entreprise qui soutiennent les processus primaires et les informations qui sont incontournables dans ce cadre. Réfléchissez aux conséquences que pourrait avoir une intrusion dans une base de données primaires. En calculant la probabilité d’occurrence multipliée par l’ampleur de l’impact, vous pouvez établir une sorte de classement des risques et les hiérarchiser.

1. Fixer des priorités dans la sécurité

Stephen Corbiaux, Solution Lead Vulnerability Management chez Davinsi Labs

"Pour améliorer l'impact de sécurité, il faut miser sur une plus grande capacité de résistance. Et ce, en travaillant sur trois piliers: les ressources humaines, la technologie et les procédures”

De nos jours, les systèmes spatiaux et les données, produits et services qu’ils fournissent servent de plus en plus de base aux services et infrastructures essentiels, aux communications, aux études scientifiques, à l’exploration, aux politiques et à la prise de décisions. Cette dépendance accrue de notre société fait de ces ressources spatiales des cibles d’autant plus attrayantes pour nos adversaires.

Telindus Luxembourg aide l’Agence spatiale européenne à protéger ses ressources et sa propriété intellectuelle en automatisant les tests de pénétration et en sensibilisant les utilisateurs.

Marcus Wallum, Operations Data Systems Engineer au sein de l’ESA: “L’ESA dispose d’un cadre avancé en matière de gouvernance de la sécurité, avec une traçabilité allant des règlements de haut niveau aux directives, en passant par les politiques et par leur mise en œuvre. Ce cadre inclut une accréditation et un programme de certification, le tout combiné à la désignation de responsables et à un système de management de la sécurité de l’information certifié ISO 27001.”
Malgré cette attention accrue, il y a encore beaucoup à faire. Comme sensibiliser les collaborateurs, afin que les exigences en matière de sécurité soient respectées dès le lancement du programme et de la mission et arrivent jusqu’au niveau de l’ingénierie.

“Le projet PenBox permet à des utilisateurs non spécialisés de soumettre un système à des tests de pénétration génériques de manière simple et réitérable, ce qui en réduit considérablement le coût. Les scénarios d’attaque spécifiques à une vraie mission spatiale mettent en évidence un impact potentiel sur celle-ci, ce qui fait que l’utilisateur et le propriétaire du système sont bien plus conscients du risque.”

Vous avez besoin d'une visibilité directe du niveau de votre sécurité IT ? Il suffit de répondre à 12 questions et vous obtiendrez une vision globale de l'état de votre sécurité ainsi qu'un rapport personnalisé..

Stephen Corbiaux, Solution Lead Vulnerability Management chez Davinsi Labs :
“Un réseau moderne consiste aujourd’hui généralement en un environnement hybride : en partie sur place, en partie dans le cloud. 

Les jeunes organisations n’ont généralement plus d’infrastructure propre et travaillent entièrement dans le cloud. Il est impossible d’inventorier et gérer ce type d’activités de manière traditionnelle. Il n’en reste pas moins que le département IT doit aussi fournir le support nécessaire. On ne peut pas protéger ce qu’on ne voit pas. C’est pourquoi la visibilité est essentielle : pour avoir une vision des dangers possibles.”

Le terme shadow IT se réfère aux activités IT qui échappent au radar du département IT et dont ce service ne peut pas garantir la sécurité. 
Quel en est selon vous le plus grand risque ?
“Toute personne dotée d’une adresse e-mail et d’une carte de crédit peut acheter un service dans le cloud. Le danger réside surtout dans les données qui se retrouvent sur ces systèmes. Mais il est impossible pour une entreprise de tout fermer hermétiquement. Il n’y a pas de solution magique pour éviter le shadow IT. Ce qu’il faut avant tout, c’est une communication claire visant à signaler les dangers pour accroître la sensibilisation. Parallèlement, le département IT doit aussi s’interroger sur les causes de l’utilisation du shadow IT. Pourquoi utilise-t-on un serveur de fichiers en ligne ? Peut-être est-ce parce que la solution mise à disposition par l’entreprise ne répond pas à ses besoins.”

“Les risques changent au fil du temps. 
De même que la technologie et le contexte de l’entreprise. 
Tous ces éléments doivent être pris en compte pour la sécurité”