Raccourci : Commencez tout de suite !
En fait, vous voulez être sûr de trois choses:
- Que personne ne puisse consulter ou lire vos données d’entreprise les plus importantes > >confidentialité
- Que les processus et les données de vos systèmes soient corrects et traçables > >intégrité
- Que les applications et les données soient disponibles lorsque vous en avez besoin >disponibilité
En soi, c’est encore très simple, mais ces exigences de base sont menacées par des dangers potentiels qui peuvent perturber cette sécurité.
Et vous entendez beaucoup parler de ces dangers dans la presse et les publicités. Le but est de vous faire peur de mystérieux pirates informatiques qui deviendront une catastrophe cybernétique pour votre entreprise. L’espoir de tous ces prophètes de malheur est de vous effrayer pour que vous achetiez leur solution et que vous obteniez une illusion de sécurité qui vous permette de dormir à nouveau sur vos deux oreilles. La peur est mauvaise conseillère.
Permettez-moi d’abord de démentir quelques mythes marketing sur la sécurité de l’information:
- La cybersécurité n’est pas une mode du jour qui va bientôt disparaître et dans laquelle vous ne devriez pas trop investir de temps. Tout comme nous sommes certains que nous mourrons tous un jour et que nous devrons payer des impôts, la sécurisation de notre vie numérique restera toujours importante et à l’ordre du jour. Tout comme vous devez déposer votre déclaration de TVA ou organiser la prévention au travail, vous devrez également mettre de l’ordre dans votre cybersécurité.
- Personne ne peut vous offrir une solution magique qui vous permettra de régler cela sans effort, peu importe le montant que vous versez sur leur compte bancaire, l’impression que fait le marketing ou le nombre de lumières sur la boîte qu’ils vous vendent. Vous pouvez chercher un partenaire pour vous aider avec votre sécurité ou des parties de celle-ci, mais vous devrez être le propre pilote de votre cybersécurité.
- Enfin et surtout: la sécurité absolue n’existe pas. Personne ne peut vous offrir une garantie à 100 %. C’est pourquoi il est également très important de planifier pour le cas où les choses tourneraient mal, afin de pouvoir réagir correctement à ce moment-là, de limiter les dégâts et de reprendre rapidement le travail. Les entreprises intelligentes ne planifient pas seulement pour la cybersécurité, mais s’efforcent également d’être cyber-résilientes. La cyber-résilience est la capacité d’une organisation à faire face à une cyberattaque et la rapidité avec laquelle elle peut ensuite fonctionner à nouveau normalement. Et il y a une certitude : vous serez attaqué et parfois ces attaques réussiront.
Beau blabla et théorie, mais comment aborder cela en pratique?
Le tout premier travail, le plus ennuyeux, est de faire un inventaire. Un aperçu de tout ce que vous avez au sein de votre organisation en termes d’appareils, d’infrastructures, d’applications, de processus et de données. Car si vous ne savez pas ce que vous avez, comment pouvez-vous jamais le sécuriser ? Prenez donc une feuille de papier (ou une feuille Excel) et commencez à polir avec le plus d’informations possible.
La deuxième étape importante consiste à lister les exigences minimales que vous devez respecter:
- Exigences contractuelles: qu’avez-vous promis contractuellement à vos clients ? Quels accords avez-vous conclus avec eux?
- Exigences contractuelles: qu’avez-vous promis contractuellement à vos clients ? Quels accords avez-vous conclus avec eux?
- Exigences souhaitables: quelles sont les exigences minimales que votre organisation attend elle-même, par exemple en ce qui concerne la disponibilité des applications.
Sur la base de ces inventaires, vous pouvez ensuite effectuer une analyse des risques.
Dans le monde de la cybersécurité, nous ne parlons pas tant de dangers que de risques. Il est très important de comprendre ce que sont ces risques. Expliqué simplement, un risque est un problème (il ne s’agit pas nécessairement d’une attaque en tant que telle, mais peut aussi être une panne de courant ou un incendie) qui a un certain impact sur le fonctionnement de votre organisation. La deuxième question importante est de savoir quelle est la probabilité que ce problème se produise. Le risque peut donc être calculé en multipliant l’impact par la probabilité qu’il se produise. Un exemple : la probabilité d’attraper un virus quelque part est très élevée, l’impact peut être important, c’est donc un risque élevé. La probabilité qu’une super-tempête dans la mer du Nord inonde la Zélande et la Flandre occidentale est d’une fois tous les 17 000 ans, l’impact est énorme mais comme la probabilité est faible, le risque est très faible.
Une fois que vous connaissez les risques, vous pouvez prendre des mesures pour les prévenir, en limiter l’impact, les transférer à d’autres ou simplement les accepter. En prenant ces mesures,
vous pouvez limiter le risque et l’impact.
Maintenant, vous n’allez pas éliminer ces risques d’un seul coup, mais cela constitue la base d’un plan de sécurité de l’information que vous mettrez en œuvre étape par étape et que vous documenterez autant que possible. Sans un plan écrit et documenté, ce ne sont que de bonnes intentions.
Ce plan contient de nombreuses façons d’aborder tout cela:
- Avec toutes sortes de solutions techniques ou pratiques
- Sur papier avec des politiques, de bonnes procédures et de bons accords (contractuels)
- Avec des mesures supplémentaires telles que les assurances contre les cyber-risques
Ensuite, cela devient un processus permanent dans lequel, en tant que PME, vous suivrez la cyber-résilience / sécurité de votre organisation dans un cercle éternel de sécurité de l’information. Le cercle de Deming est souvent utilisé à cette fin. Mieux connu sous le nom de P(lan)D(o)C(heck)A(ct), c’est un peu de bon sens emballé dans un jargon de consultant coûteux issu de la gestion de la qualité intégrée.
Lancez-vous vous-même avec notre aide!
Heureusement, vous n’avez pas à partir de 0 sans base ou sans aide. Il existe de très nombreux documents en ligne disponibles avec des exemples de documents, des exemples de plans, des feuilles Excel, etc.
L’UE a également compris que cela représentera un défi pour les PME et a donné à un consortium d’entreprises de l’UE les moyens nécessaires pour aider les PME à se mettre à niveau. Avec CYSSME, nous avons développé pour les PME un parcours d’amélioration complet pour, avec le soutien de l’UE, mettre votre PME à niveau.
Cela commence par où vous pouvez vous évaluer par rapport à deux listes d’exigences de base. deux (auto-)évaluations où vous pouvez vous évaluer par rapport à deux listes d’exigences de base.