Les cyberattaques se multiplient, sont toujours plus complexes et visent tous azimuts. Pour prévenir et gérer les risques liés aux systèmes d’information, la gouvernance de la cybersécurité est devenue un enjeu majeur pour les organisations publiques ou privées. La mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) apparaît alors comme la solution idéale.
Pare-feu, VPN, gestion des identités et des accès, protection de la messagerie, détection d’intrusion… Aujourd’hui les solutions de défenses du SI sont nombreuses, mais encore faut-il savoir les orchestrer. Car à la moindre fausse note, c’est tout le système qui est exposé. Et quel meilleur chef d’orchestre qu’un SMSI, véritable pilier de la gouvernance de la sécurité !
Un SMSI pour cadrer la démarche
En englobant un ensemble de mesures de sécurité -qu’elles soient organisationnelles, physiques ou logiques- un SMSI permet de piloter efficacement une démarche de sécurisation du SI. Il indique comment préparer les mesures de prévention et de protection en s’appuyant sur des indicateurs et des plans d’action, de façon cohérente et éprouvée. Il améliore également la résilience de l’organisation avec la mise en place de plans d’urgence et de continuité d’activité. Enfin, point à ne pas négliger, il instaure la confiance avec les clients et les partenaires en affichant une démarche reconnue de gestion globale des risques.
Des normes ISO pour identifier les bonnes pratiques
S’appuyant sur des exigences normatives, la norme ISO/CEI 27001 atteste de la mise en place effective du SMSI. Certifiant mais non obligatoire (sauf pour une accréditation ou contractuellement), ce standard international en matière de cybersécurité est un véritable vivier de bonnes pratiques, à l’image du guide d’hygiène de l’ANSSI. Il permet d’améliorer les différentes méthodologies de l’organisation en matière de sécurité, en donnant un cadre et en alignant les pratiques déjà existantes dans la bonne direction. L’ISO/CEI 27002 quant à elle se trouve dans l’annexe A de l’ISO/CEI 27001. Il s’agit de la section à laquelle la plupart des experts en sécurité de l’information se réfèrent lorsque le sujet des contrôles de sécurité est abordé. Dans sa version 2022, elle regroupe 93 mesures dans 4 grandes thématiques : la sécurité organisationnelle, la sécurité liée aux personnes, la sécurité physique et la sécurité technologique. Ces 2 normes montrent ainsi le chemin à suivre. Et pour aller au bout de cette voie, l’organisation doit se faire auditer pour décrocher la certification ISO/CEI 27001. Une fois certifiée, l’organisation apporte la preuve du respect des exigences de la norme et des recommandations en matière de protection des données à caractère personnel auprès des clients, des partenaires, des autorités et du grand public.
« Il ne faut pas négliger le temps et la complexité de la mise en place d’un SMSI ou d’une certification ISO. »
Yoann JAGUENEAU,
Directeur des opérations Fidens Paris
Des tests d’intrusions pour auditer le projet
Mettre en place une gouvernance de la cybersécurité pour se préparer à l’éventualité d’une attaque est une bonne chose, mais vérifier très concrètement l’aspect effectif de ce projet, c’est mieux. Dans ce domaine, rien de plus efficace que le test d’intrusion (ou pentest). Il permet en effet d’évaluer le niveau de sécurité à un instant T par rapport aux pratiques réelles de piratage. Une campagne de pentests donne ainsi une visibilité objective du niveau de sécurité pour connaître les impacts réels en cas d’attaque, et ainsi proposer un plan d’action pour mitiger les risques.
Un outillage pour avancer plus facilement
Il ne faut pas négliger le temps et la complexité de la mise en place d’un SMSI ou d’une certification ISO. Pour aider les DSI et les RSSI à mener à bien le chantier de la gouvernance de la cybersécurité, il faut un outil adapté comme APOS. Fonctionnant en mode Saas ou On Premise, il assure le reporting en temps réel, apporte une vision transverse du traitement des risques, gère la conformité aux standards ISO 27001, et permet aux organisations de s’inscrire dans une démarche d’amélioration continue.»
Pour plus d’informations sur la mise en œuvre d’un SMSI et sur la solution Apos, visitez le site :
https://www.fidens.fr/
