18 février,
|
Accueil / Stratégie de sécurité / Gestion des risques liés à la sécurité de l’information : créer un programme solide
Vos données critiques, vos informations client et vos dossiers personnels sont-ils à l’abri des intrusions de cybercriminels, de pirates informatiques et même d’utilisations abusives ou de destruction internes ?
Si vous êtes convaincu que vos données sont sécurisées, d’autres entreprises ont eu le même sentiment :
- Target, l’un des plus grands détaillants aux États-Unis, a été victime d’une cyberattaque massive en 2013, avec la compromission des informations personnelles de 110 millions de clients et de 40 millions de dossiers bancaires. Cela a entraîné des dommages à long terme à l’image de l’entreprise et un règlement de plus de 18 millions de dollars.
- Equifax, la société de crédit bien connue, a été attaquée sur une période de plusieurs mois, découverte en juillet 2017. Des cybervoleurs se sont emparés des données sensibles de plus de 143 millions de clients et de 200 000 numéros de carte de crédit.
Ce ne sont que des exemples d’attaques très publiques qui ont entraîné des amendes et des règlements considérables. Sans parler des dommages à l’image de marque et à la perception du public.
L’étude de Kaspersky Labs sur la cybersécurité a révélé 758 millions de cyberattaques malveillantes et d’incidents de sécurité dans le monde, dont un tiers ayant leur origine aux États-Unis
Comment protégez-vous votre entreprise et vos actifs informationnels contre un incident de sécurité ?
La solution est d’avoir un plan stratégique, un engagement envers la gestion des risques liés à la sécurité de l’information .
Qu’est-ce Que La Gestion Des Risques Liés à La Sécurité De L’information ? Une Définition
La gestion des risques liés à la sécurité de l’information, ou ISRM, est le processus de gestion des risques liés à l’utilisation des technologies de l’information.
En d’autres termes, les organisations doivent :
- Identifier les risques de sécurité, y compris les types de risques de sécurité informatique.
- Déterminer les « propriétaires du système » des actifs critiques.
- Évaluer la tolérance au risque de l’entreprise et les risques acceptables.
- Élaborer un plan de réponse aux incidents de cybersécurité.
Construire Votre stratégie De Gestion Des Risques
L’évaluation Des Risques
Votre profil de risque comprend l’analyse de tous les systèmes d’information et la détermination des menaces pour votre entreprise :
- Risques liés à la sécurité des données et de l’informatique
- Contrôles de sécurité organisationnels existants
Une évaluation complète de la sécurité informatique comprend les risques liés aux données, l’analyse des problèmes de sécurité de la base de données, le potentiel de violation des données, le réseau et les vulnérabilités physiques.
Traitement Des Risques
Actions prises pour remédier aux vulnérabilités via plusieurs approches :
- Acceptation des risques
- Évitement des risques
- Gestion des risques
- La gestion des incidents
- Planification de la réponse aux incidents
Le développement d’une solution d’entreprise nécessite une analyse approfondie des menaces à la sécurité des systèmes d’information de votre entreprise.
L’évaluation et le traitement des risques sont des processus itératifs qui nécessitent l’engagement de ressources dans plusieurs domaines de votre entreprise : RH, informatique, juridique, relations publiques, etc.
Tous les risques identifiés dans l’évaluation des risques ne seront pas résolus dans le traitement des risques. Certains seront considérés comme des risques acceptables ou à faible impact qui ne justifient pas un plan de traitement immédiat.
Il y a plusieurs étapes à aborder dans votre évaluation des risques liés à la sécurité de l’information.
6 étapes D’une évaluation Des Risques De Sécurité
Une ligne directrice utile pour l’adoption d’un cadre de gestion des risques est fournie par le National Institute of Standards and Technology (NIST) du Département du Commerce des États-Unis. Ce cadre volontaire décrit les étapes des programmes ISRM qui peuvent s’appliquer à votre entreprise.
1. Identifier – Analyse Des Risques Liés Aux Données
Cette étape est le processus d’identification de vos actifs numériques qui peuvent inclure une grande variété d’informations :
Informations financières qui doivent être contrôlées en vertu de la loi Sarbanes-OxleyDossiers de soins de santé nécessitant la confidentialité en application de la loi HIPAA sur la portabilité et la responsabilité en matière d’assurance maladie
Informations confidentielles sur l’entreprise telles que le développement de produits et les secrets commerciaux
Les données personnelles qui pourraient exposer les employés à des risques de cybersécurité tels que les réglementations sur le vol d’identité
Pour ceux qui traitent des transactions par carte de crédit, la conformité à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
Au cours de cette étape, vous évaluerez non seulement le risque potentiel de perte ou de vol de données, mais vous hiérarchiserez également les mesures à prendre pour minimiser ou éviter le risque associé à chaque type de données.
Le résultat de l’étape d’identification est de comprendre vos principaux risques de sécurité de l’information et d’évaluer les contrôles que vous avez déjà en place pour atténuer ces risques. L’analyse de cette étape révèle des problèmes de sécurité des données tels que :
Menaces potentielles – physiques, environnementales, techniques et liées au personnel
Contrôles déjà en place – sécurisez les mots de passe forts, la sécurité physique, l’utilisation de la technologie, l’accès au réseau
Actifs de données qui devraient ou doivent être protégés et contrôlés
Cela inclut la catégorisation des données pour la gestion des risques de sécurité en fonction du niveau de confidentialité, des réglementations de conformité, du risque financier et du niveau de risque acceptable.
2. Protection – Gestion Des Actifs
Une fois que vous avez pris conscience de vos risques de sécurité, vous pouvez prendre des mesures pour protéger ces actifs.
Cela comprend une variété de processus, de la mise en œuvre de politiques de sécurité à l’installation de logiciels sophistiqués offrant des capacités avancées de gestion des risques liés aux données.
- Formation de sensibilisation à la sécurité des employés dans le traitement approprié des informations confidentielles.
- Mettez en place des contrôles d’accès afin que seuls ceux qui ont réellement besoin d’informations y aient accès.
- Définissez les contrôles de sécurité requis pour minimiser l’exposition aux incidents de sécurité.
- Pour chaque risque identifié, établissez le « propriétaire » de l’entreprise correspondante afin d’obtenir l’adhésion aux contrôles proposés et à la tolérance au risque.
- Créer un poste de responsable de la sécurité de l’information avec une concentration centralisée sur l’évaluation et l’atténuation des risques liés à la sécurité des données.
3. Mise En œuvre
Votre étape de mise en œuvre comprend l’adoption de politiques formelles et de contrôles de sécurité des données.
Ces contrôles engloberont diverses approches des risques liés à la gestion des données :
- Examen des menaces de sécurité identifiées et des contrôles existants
- Création de nouveaux contrôles pour la détection et le confinement des menaces
- Sélectionner des outils de sécurité réseau pour l’analyse des menaces réelles et tentées
- Installer et mettre en œuvre une technologie pour les alertes et la capture des accès non autorisés
4. Évaluation Du Contrôle De Sécurité
Les contrôles de sécurité existants et nouveaux adoptés par votre entreprise doivent faire l’objet d’un examen régulier.
- Vérifiez que les alertes sont acheminées vers les bonnes ressources pour une action immédiate.
- Assurez-vous qu’à mesure que des applications sont ajoutées ou mises à jour, il y a une analyse continue des risques liés aux données.
- Les mesures de sécurité du réseau doivent être testées régulièrement pour leur efficacité. Si votre organisation comprend des fonctions d’audit, les contrôles ont-ils été examinés et approuvés ?
- Les propriétaires d’entreprise de données (parties prenantes) ont-ils été interrogés pour s’assurer que les solutions de gestion des risques sont acceptables ? Sont-ils adaptés à la vulnérabilité associée ?
5. Autorisations Du Système De Sécurité De L’information
Maintenant que vous avez une vue complète de vos données critiques, défini les menaces et établi des contrôles pour votre processus de gestion de la sécurité, comment vous assurez-vous de son efficacité ?
L’étape d’autorisation vous aidera à faire cette détermination :
- Les bonnes personnes sont-elles informées des menaces en cours ? Est-ce fait rapidement ?
- Passez en revue les alertes générées par vos contrôles – e-mails, documents, graphiques, etc. Qui suit la réponse aux avertissements ?
Cette étape d’autorisation doit examiner non seulement qui est informé, mais aussi quelles mesures sont prises et à quelle vitesse. Lorsque vos données sont à risque, le temps de réaction est essentiel pour minimiser le vol ou la perte de données.
6. Surveillance Des Risques
L’adoption d’un cadre de gestion des risques liés à l’information est essentielle pour fournir un environnement sécurisé à vos actifs techniques.
La mise en œuvre d’un système sophistiqué de contrôles et de gestion des alertes piloté par logiciel fait partie intégrante d’un plan de traitement des risques.
Une surveillance et une analyse continues sont essentielles. Les cybervoleurs développent quotidiennement de nouvelles méthodes pour attaquer votre réseau et vos entrepôts de données. Pour suivre le rythme de cet assaut d’activité, vous devez revoir régulièrement vos rapports, vos alertes et vos métriques.
Créer Un Programme Efficace De Gestion Des Risques De Sécurité
Vaincre les cybercriminels et stopper les menaces internes est un processus difficile. Apporter l’intégrité et la disponibilité des données à la gestion des risques de votre entreprise est essentiel pour vos employés, clients et actionnaires.
Créez votre processus de gestion des risques et prenez des mesures stratégiques pour faire de la sécurité des données un élément fondamental de la conduite des affaires.
En résumé, les meilleures pratiques incluent :
- Mettez en œuvre des solutions technologiques pour détecter et éradiquer les menaces avant que les données ne soient compromises.
- Mettre en place un bureau de sécurité responsable.
- Veiller au respect des politiques de sécurité.
- Faites de l’analyse des données un effort collaboratif entre l’informatique et les parties prenantes de l’entreprise.
- Assurez-vous que les alertes et les rapports sont significatifs et acheminés efficacement.
La réalisation d’une évaluation complète de la sécurité informatique et la gestion des risques d’entreprise sont essentielles pour identifier les problèmes de vulnérabilité.
Développer une approche globale de la sécurité de l’information.
PhoenixNAP intègre des infrastructures et des solutions logicielles pour fournir à nos clients des services informatiques fiables et essentiels :
- Services cloud performants et évolutifs
- Serveurs dédiés et systèmes redondants
- Solutions logicielles complètes pour ISRM
- Services de reprise après sinistre, y compris les fonctions de sauvegarde et de restauration
La sécurité est notre objectif principal, assurant le contrôle et la protection de votre réseau et de vos données critiques.
Contactez nos professionnels dès aujourd’hui pour discuter de la façon dont nos services peuvent être adaptés pour fournir à votre entreprise une solution de sécurité globale.
