La cyber-défense de l'organisation idéalement sécurisée

Faut-il le répéter à nouveau : l'entreprise qui préfère choisir une seule méthode de protection, comme un pare-feu, continue d'exposer son système d'information à de nombreuses possibilités d'attaques. Pour la quasi-totalité des sociétés de conseil et d'analystes, seule la définition d'une politique globale de sécurité permet de tenir les capitaux à l'écart des menaces dues à la cyber-criminalité. Mais avant tout, selon le deuxième volet du livre blanc "e-Commerce and Cyber Crime" de KPMG, il paraît indispensable de comprendre quels sont les types de capitaux visés. Le cabinet de conseil en dresse ainsi une liste exhaustive, qui s'étale des flux bancaires et financiers à l'information stratégique dans un domaine concurrentiel, en passant par les données soumises à la propriété intellectuelle et celles d'identification à caractère personnel. L'entreprise idéalement protégée aura donc établi cette liste en fonction de ses processus métiers de la façon la plus large possible. Elle aura également mis en place dans le cadre de sa politique globale un plan comprenant un ensemble de systèmes et de procédures adaptés, qualifié par KPMG de cyber-défense.

Avant de mettre en place l'infrastructure de sécurité, le planning de cyber-défense taillé en fonction de l'entreprise doit néanmoins être défini en amont par certains facteurs au niveau global. Parmi ceux-ci, l'on peut citer l'intégration des solutions humaines et techniques, et l'élaboration des plans de réponse aux intrusions, de surveillance et de gestion des réseaux. La politique de sécurité en elle-même comprendra un certain nombre de mesures règlementaires qu'il faudra développer et mettre en place, comme l'usage d'agréments contractuels sur les secrets de fabrication, les standards et la conduite professionnelle des employés, ou les procédures gouvernant l'usage des systèmes de communication. Les plans d'action tenant compte du rapport risques/bénéfices issus de l'externalisation de certaines fonctions devront aussi être rédigés.

Enfin, selon KPMG, l'entreprise idéalement sécurisée fait également la part belle à la formation des ressources. Alors que les employés doivent être avertis de la conduite à tenir en cas d'incident, les administrateurs de systèmes et techniciens appariés sont censés se tenir au courant de toutes les évolutions engagées par l'apparition de nouvelles technologies ou même l'ouverture de nouveaux canaux. Bien entendu, les tutoriaux concernant les réponses légales ainsi que les lignes de conduites à tenir doivent être mis à disposition de l'ensemble du personnel. KPMG termine cette partie de son rapport avec un questionnaire en 10 points permettant à l'entreprise désireuse d'améliorer sa sécurité de jalonner sa démarche. Une initiative à surveiller. [François Morel, JDNet]