La cybersécurité: enjeux et contraintes

La cybersécurité représente un enjeu majeur pour les entreprises de technologies, mais aussi pour les entreprises et organisations des autres secteurs: finance, santé, secteur public, etc. Nous allons dans cet article apporter une définition à la cybersécurité, et ensuite présenter les enjeux et les contraintes.

La cybersécurité est l’ensemble des technologies, processus et pratiques conçus pour protéger les réseaux informatiques, les ordinateurs, les applications logicielles et les données contre les attaques, les dommages ou les accès non autorisés.

Le cyberespace est un domaine interactif constitué de réseaux numériques, utilisé pour stocker, modifier et communiquer des informations. Cela inclut Internet, mais également les autres systèmes d’information qui prennent en charge nos activités, notre infrastructure et nos services.

Les enjeux

La sécurité permet à une entreprise de fonctionner de manière optimale. L’entreprise doit:

  • Protéger des données personnelles et professionnelles des employés – Confidentialité, Intégrité, Disponibilité
  • Protéger les données clients collectées par divers moyens
  • Répondre aux exigences légales et réglementaires de sécurité
  • Protéger sa réputation, sa marque, son identité
  • Se préparer aux problèmes: programmes malveillants, virus, attaques

Pour assurer de la protection des données il faut prendre en compte ces trois points:

La Confidentialité:

  • Garantir que seules les personnes autorisées peuvent accéder aux données
  • Contrôler l’accès aux données
  • Faire le chiffrement des données

La Disponibilité:

  • S’assurer que les systèmes et les données sont disponibles en cas de besoin
  • Protéger contre les menaces
  • Faire des sauvegardes, et assurer la redondance
  • Assurer la tolérance aux pannes

L’ Integrité:

  • Empêcher la modification non autorisée des données et assurer que toute modification non autorisée soit détectée
  • Contrôler l’accès, faire la journalisation et l’audit
  • Utiliser les algorithmes de hachage

Les contraintes

L’entreprise doit protéger ces actifs. Il est des lors important de bien visualiser l’ensemble des actifs à protéger.

Pour assurer une protection efficace de ces actifs, l’entreprise doit mettre en place un processus de gestion des risques.

La gestion des risques est le processus d’identification, d’évaluation et de hiérarchisation des menaces et des risques. Un risque est généralement défini comme la probabilité qu’un événement se produise. Une menace est définie comme une action ou un événement qui pourrait entraîner la rupture, la panne ou la corruption d’un système en exploitant les vulnérabilités connues ou inconnues. L’objectif de tout plan de gestion des risques est d’éliminer les risques lorsque possible et de minimiser les conséquences de risques qui ne peuvent pas être éliminé. Les évaluations des risques sont utilisées pour identifier les risques pouvant affecter votre environnement particulier.

Mettre en place une stratégie de défense en profondeur

Une défense en profondeur signifie utiliser plusieurs couches de sécurité pour défendre vos atouts. De cette façon, même si un attaquant enfreint une couche de votre défense, vous avez des couches supplémentaires pour garder cette personne hors des zones critiques de votre environnement.

Etre conforme avec les exigences légales et réglementaires nationales et internationales. Ci dessous une présentation de certaines réglementations de cybersécurité:

  • IS027001/2 – Norme reconnue dans toute l’industrie
  • IS027001 – Élément clé du cadre utilisé et reconnu dans le monde entier comme base des pratiques de sécurité. C’est la norme internationale qui décrit les meilleures pratiques pour un système de gestion de la sécurité de l’information (ISMS). Il est conçu pour servir de point de référence unique pour identifier la gamme de contrôles nécessaires dans la plupart des situations dans lesquelles des systèmes d’information sont utilisés.
  • NIST – Normes américaines très approfondies
  • COBIT – Une méthodologie facilitant les audits de sécurité et la gestion des risques
  • ITIL – Une méthodologie facilitant les audits et les processus
  • PCI DSS – Norme à suivre pour les systèmes de paiement par carte de crédit.

Pour conclure il faudrait que l’entreprise soit capable d’assurer l’équilibre entre la demande en installation des outils de cybersécurité pour la protection des ressources, et le besoin des utilisateurs/clients d’accéder a ces ressources.