Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Neuf conseils pour bâtir un plan de sécurité organisationnel solide et bien défini

février 2018 par Jan Van Vliet, VP et General Manager EMEA, Digital Guardian

Pour répondre aux besoins d’une entreprise, il est crucial de s’appuyer sur un plan de sécurité organisationnel solide et bien défini pour toute l’organisation, intégrant à la fois IT et sécurité. Trop souvent, la sécurité est considérée comme une barrière, mais finalement, est le seul moyen d’aider à protéger l’entreprise contre les menaces et d’éviter de compromettre des données.

Voici neuf conseils utiles pour construire un plan de sécurité organisationnel bien structuré :

1. Adopter une approche basée sur les risques

Il est important d’adopter une approche axée sur le risque, particulièrement avec les employés. Prendre le temps d’identifier les employés, où qu’ils soient dans la hiérarchie, qui représentent les plus grands risques en cas de perte de données. En effet, certains employés possèdent des certificats d’administrateur de domaine pour toute l’entreprise. D’autres sont les gardiens de données critiques et sont en plus chargés de maintenir des données commerciales sensibles. On peut opérer les ajustements nécessaires ultérieurement, mais l’une des premières actions effectuées dans une organisation doit toujours être de déterminer où résident les plus grands risques.

2. Récompenser les bons comportements

Autre étape importante, l’élaboration d’un programme de sensibilisation à la sécurité. Cela peut sembler futile mais le simple fait de communiquer sur ce qui est attendu d’un employé sur le plan de la sécurité ou d’imposer une campagne à des utilisateurs n’est pas toujours efficace. Les organisations déploient généralement des approches uniformisées qui réussissent rarement à modifier le comportement des employés dans la durée. Il n’est pas nécessaire de supprimer ces campagnes mais elles devraient motiver les participants et récompenser les bons comportements. Les utilisateurs ne doivent pas ressentir de honte parce qu’ils ont cliqué accidentellement sur un lien d’hameçonnage, mais au contraire, sentir plutôt qu’ils jouent un rôle clé dans le renforcement du contrôle organisationnel de l’entreprise.

3. Intégrer les technologies

Pour autant, il est utile d’alléger les employés de certaines tâches de prise de décision. Si on compte sur un employé pour qu’il se comporte bien en toute occasion, on va droit dans le mur. C’est une stratégie qui échouera, peu importe comment elle est appliquée. Les technologies — et plus elles sont fluides et transparentes, mieux c’est — peuvent aider à clarifier les situations. L’objectif de toute entreprise doit être d’associer une stratégie de sécurité bien équilibrée à ces technologies.

4. Pause réflexion

Les employés doivent apprendre à adopter un état d’esprit leur permettant de faire une pause pour réfléchir. Si un employé reçoit effectivement un e-mail d’hameçonnage, il doit s’arrêter pour se demander : «  Est-ce que je suis censé faire ça  ?  » avant de cliquer dessus. Cette routine doit devenir une habitude, presque un instinct avec le temps. Un employé est peut-être le dernier maillon de la chaîne de sécurité, mais s’il clique sur quelque chose de malveillant, cette chaîne est rompue et rend l’entreprise vulnérable à un scénario de fuite de données.

5. Désigner un leader

En fonction de la taille de l’entreprise, désigner un leader de la sécurité pour chaque segment de l’organisation peut être bénéfique. Un leader peut échanger avec les autres leaders et collaborer sur les problèmes de sécurité urgents. Chaque fois qu’un utilisateur se pose une question, sur un lien potentiellement malveillant par exemple, il doit pouvoir rapidement la poser à quelqu’un. Sans un leader, quelqu’un dont c’est le rôle de répondre aux questions, l’utilisateur peut être tenté de cliquer dessus, ce qui peut entraîner de mauvaises décisions.

6. Impliquer les autres divisions

La sécurité de l’organisation n’a pas à être confinée dans le service informatique. Il est important d’exploiter les ressources dont on bénéficie en interne. L’un des principaux objectifs d’une organisation doit être de construire une marque de sécurité au sein de l’entreprise. Le service marketing, un groupe de personnes qui savent comment se positionner, comment atteindre les gens et comment le mesurer, peut se révéler un atout énorme.

7. Mettre des politiques en place

Certaines de ces suggestions peuvent paraître ésotériques, mais au bout du compte, les employés doivent quand même être tenus responsables. C’est pourquoi il est nécessaire d’élaborer des politiques et de les faire appliquer. Si on ne tient pas les employés pour responsables de leurs actes — les sites que visitent les utilisateurs, ce qu’ils sont autorisés à faire sur leur appareil, etc. — toutes les autres mesures ne serviront à rien.

8. Se référer aux directives publiées

En matière de directives de gestion informatique, des guides formidables ont déjà été publiés. Le NIST (National Institute of Standards and Technology) met son savoir à disposition. Le COBIT (Control Objectives for Information and Related Technologies), un guide d’audit et de conformité, peut également aider à mettre au point les pratiques de gouvernance et de gestion. Elaborer les politiques à la volée n’est jamais une riche idée. Il est préférable de suivre les meilleures pratiques de l’industrie, pour des raisons évidentes.

9. Prendre votre temps

Inutile de se presser. Ce sujet ne peut pas se régler du jour au lendemain. Une entreprise peut mettre des années pour déployer une campagne de sensibilisation à la sécurité réussie, sans parler de maîtriser la perception de la sécurité organisationnelle dans votre entreprise. Les entreprises adoptent trop souvent une approche tactique du déploiement des campagnes  ; elles devraient être plus réalistes. Adopter une approche stratégique et la planifier sur plusieurs années, pas sur quelques mois.




Voir les articles précédents

    

Voir les articles suivants