En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
Conscio_Bannière

La cybersécurité, aussi une problématique d’organisation

Jalios_Digital Summit 2017_pave

Le 23 janvier, l’Agence Nationale de la Sécurité des Systèmes d’Information a diffusé sa nouvelle version du guide d’hygiène informatique – « Renforcer la sécurité de son système d’information en 42 mesures ». Près de la moitié de ces mesures visent à mettre une place une gouvernance, des procédures ou encore des formations efficaces, prouvant que la cybersécurité n’est pas qu’un enjeu technique mais aussi une vraie problématique d’organisation. Cécile Philippe, consultante mc2i Groupe, livre aux lecteurs de Solutions Numériques 7 conseils pour adapter son organisation aux enjeux de la sécurité des systèmes d’information.

1 Connaître son capital en temps réel

Une bonne politique de sécurité s’appuie avant tout sur des cartographies exhaustives et à jour du réseau, des outils, des profils utilisateurs et même des usages du numérique dans l’organisation. Un responsable de la sécurité des systèmes d’information compétent doit donc avoir une vision globale de l’entreprise et de ses biens et l’actualiser en permanence avec rigueur.

2 Adapter sa gouvernance au fonctionnement naturel de l’organisation

Pour avoir plus de chance d’être respectées, les mesures de sécurité doivent s’adapter à la culture de l’entreprise. Si les filiales ont une forte indépendance, il faut nommer des responsable sécurité locaux. A l’inverse, si les salariés sont déjà habitués à travailler avec un centre de service pour la bureautique ou la logistique, il est logique de créer un centre de service de sécurité de systèmes d’information.

3 Posséder une liste de prestataires de confiance

Réaliser une cartographie des compétences cybersécurité disponibles en interne permet de détecter les talents d’une organisation, mais aussi de pointer les expertises qu’on ne possède pas. Pour pallier ces manques, il faut prendre le temps de rencontrer des entreprises ou des consultants spécialisés à titre préventif. Ainsi, on dispose d’une liste de personnes fiables à contacter en urgence en cas d’attaque.

4 Réaliser des retours d’expérience post-attaques

Les entreprises mettent en place des procédures à suivre à titre préventif et en cas d’attaque, mais néglige l’après. Pourquoi ne pas formaliser et présenter un retour d’expérience à l’ensemble de l’équipe chargée de la sécurité à la suite d’une attaque ? Cela crée un moment d’échange constructif sur la capacité de réaction  du dispositif de sécurité mis en place. Il est encore plus bénéfique de réaliser un retour d’expérience à chaud, puis à froid un mois plus tard par exemple.

5 Déculpabiliser les salariés

Trois quart des entreprises mènent des actions de formation des utilisateurs à la sécurité des systèmes d’information (étude Usine Nouvelle et Orange Business Services) Pour les rendre plus efficaces, il faut en profiter pour déculpabiliser. De nombreux salariés comprennent trop tard qu’ils ont cliqué sur un lien malicieux et ne le signalent pas de peur d’être pris en faute ou encore d’être licenciés. En formation, il faut toujours bien rappeler qu’il ne faut pas avoir honte d’avoir fait une erreur.

6 Faire des dirigeants des exemples

Les dirigeants et les membres des équipes informatiques sont les premiers à contourner les mesures de sécurité qu’ils prônent (étude Absolute). Pourtant, l’exemple est un excellent vecteur de diffusion des bonnes pratiques et il est bon de le rappeler au top management lors de leurs formations à la sécurité.

7 Partager son expérience

En 2016, 62% des entreprises ne communiquaient pas sur leur politique de sécurité (étude Usine Nouvelle et Orange Business Services ). Néanmoins, échanger ses derniers supports de communication avec les utilisateurs entre responsables sécurité ou partager la manière dont sont structurées ses équipes, sont autant de moyens de faire émerger de nouvelles mesures organisationnelles sans pour autant divulguer la configuration de ses outils techniques.

 

 

 

La cybersécurité, aussi une problématique d’organisation
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Sécurité des données : condamnation de la société ALLOCAB par la CNIL

    Par une décision du 13 avril 2017, la formation restreinte de la CNIL a prononcé…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Juridique - Données personnelles : la Cnil, aujourd'hui moins clémente, sanctionne pécuniairement Hertz France

    C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation…

    > En savoir plus...
Etudes/Enquêtes
  • Intelligence artificielle : 77 % des organisations ont un projet pour 2018

    A l'occasion de Microsoft experiences' 17, à Paris, une étude IDC menée pour Microsoft auprès…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
  • SECTEUR DE LA SANTÉ : VOTRE MISSION EST-ELLE IMPIRATABLE ?

    > Voir le livre
elo_processus pointe_skyscraper