Connexion
Éco-Conseil : Quels sont les enjeux de la sécurité de l’information en entreprise ?
Mohamed Amine Lemfadli : Les enjeux de la sécurité de l’information diffèrent de chaque secteur d’activité. Par exemple, dans le secteur financier (assurances, banques, établissements de crédit…), la sécurité des données personnelles et les opérations financières sont très sensibles. Par ailleurs, dans les secteurs tels que les services de distribution des eaux et électricité, le transport, l’aéronautique, l’industrie… la sécurité des systèmes de contrôle des équipements est très critique.
Cependant certains enjeux sont communs notamment :
• La mise en conformité par rapport aux législations et réglementations en vigueur (Loi 09-08, Loi 07-03, Loi 53-05…).
• La manipulation sécurisée des moyens de traitement de l’information (tablettes, smartphones, ordinateurs portables…).
• La réponse aux nouvelles tendances (le Big Data, le digital, l’internet des objets, le Cloud Computing, les réseaux sociaux…).
• La protection contre les nouvelles menaces (la fraude au président, les ransomwares, les Advanced Persistent Threat – APT…).
• La lutte contre la fuite ou le vol
des informations confidentielles, voire stratégiques.
Quid des moyens à mettre en place pour prévenir contre la cybercriminalité ?
La sécurité de l’information est une nouvelle culture que les entreprises doivent adopter. Pour réussir cette conduite de changement, il faut commencer par une campagne de sensibilisation adaptée pour chaque type de population. Ensuite, il faut mettre en place une bonne stratégie de sécurité de l’information et l’intégrer dans la stratégie globale de l’entreprise, approuvée et sponsorisée par le Top Management.
Cette stratégie doit prendre en considération les exigences légales, réglementaires et une feuille de route pour atteindre un bon niveau de sécurité en maîtrisant les risques identifiés.
Pour répondre à cette stratégie, il faut définir une bonne organisation en matière des rôles et responsabilités des responsables clés. Ensuite, il faut identifier les flux informationnels à travers une bonne cartographie des processus pour faire une bonne évaluation des risques de sécurité et une classification de l’information. Cette analyse des risques va nous aider à élaborer un corpus documentaire constitué des politiques, procédures, chartes, processus…
Dans une deuxième étape, une analyse d’état des lieux (au niveau de chaque direction) doit être faite pour évaluer les mesures de sécurité mises en place et identifier les écarts afin de pouvoir mettre en place un plan d’action.
La troisième étape, qui est la plus importante pour maintenir le cycle de vie de la sécurité de l’information, concerne la surveillance des mesures mises en place à travers un processus de gestion des incidents, des audits réguliers et d’autres mécanismes. Cette démarche permet d’aider à identifier des nouvelles failles pour mettre à jour la feuille de route initiale.
Comment sensibiliser les collaborateurs pour adopter les bonnes pratiques afin de se protéger ?
Il semble important de commencer par une évaluation des lieux pour comprendre le contexte de chaque entreprise. Il s'agit d'analyser les incidents avec les personnes concernées dont les collaborateurs sont l’origine (Infections virales à travers l’utilisation d’une clé USB infectée ou la navigation sur des sites web malveillants, Perte de données, SPAM…) et les mauvaises manipulations de l’information et des systèmes (mots de passe faibles «123», antivirus désactivés par l’utilisateur, données sensibles jetées dans les poubelles ou oubliées dans les imprimantes réseaux ou fax, accès physiques non autorisés dans les zones sensibles…).
Ensuite, il faut préparer et de lancer une campagne de sensibilisation à travers l’animation des séminaires expliquant aux collaborateurs les enjeux de la sécurité, les contraintes réglementaires, les vulnérabilités et menaces critiques, les risques associés aux résultats de la première étape et finir par quelques recommandations.
Cette campagne de sensibilisation doit être intégrée dans le plan de formation annuel. Il est préférable aussi de lancer des «flash info» avec le responsable de communication interne et le responsable du site Intranet.
Et finalement, surveiller les comportements des utilisateurs à travers des statistiques à intégrer dans les prochaines séances de sensibilisation.
