La cybersécurité est essentielle pour toutes les entreprises qui administrent un site web ou vendent leurs produits en ligne. De nos jours, la plupart des entreprises font appel au stockage sur le cloud et possèdent des canaux de médias sociaux également en ligne.
Il existe différents cadres de sécurité informatique qui aident les entreprises à se protéger. Les pas à suivre, présentés ci-après, visent à vous aider à créer la meilleure structure de sécurité possible pour votre société. Si chaque entreprise est différente, toutes se posent au fond les mêmes questions lorsqu’elles mettent en œuvre leur plan de sécurité. En voici quelques-unes.
La cybersécurité est encouragée par les gouvernements nationaux et supranationaux
À échelle européenne, l’ENISA (European Union Agency for Cybersecurity) livre des recommandations en matière de cybersécurité, soutient le développement de politiques et leur mise en œuvre, et collabore avec des équipes opérationnelles sur l’ensemble du continent.
Sa mission est, d’une part, de contribuer à la protection de la société de l’information à travers la sensibilisation, le développement et la promotion d’une culture de réseaux et de sécurité de l’information et, d’autre part, de promouvoir le bon fonctionnement du marché intérieur.
Par ailleurs, aux États-Unis, le NIST (National Institute of Standards and Technology) fournit des règles qui peuvent la plupart du temps être appliquées à toute organisation et qui forment donc une bonne base de travail.
L’ISO 27000
Le groupe ISO 27000 fournit un ensemble de paramètres permettant de planifier un cadre de cybersécurité. Cette série de normes internationales peut vous aider à :
- Définir la politique en matière de sécurité ;
- Déterminer le champ d’application de la politique ;
- Réaliser une évaluation complète du risque ;
- Gérer tout risque connu ;
- Établir des objectifs ;
- Déterminer la façon d’atteindre ces objectifs.
La formation en cybersécurité pour le personnel de votre service informatique
Dès que votre entreprise travaillera sur les options présentées ci-dessus, il est recommandé de former vos employés sur tous les aspects de ce cadre. Il est conseillé d’engager des experts en sécurité pour travailler avec les membres de votre service informatique. Quand ces derniers auront achevé leur formation, ils seront capables de gérer la sécurité informatique de votre entreprise et de concevoir la politique la plus adaptée.
Quel est le meilleur cadre ?
Si vous souhaitez vous protéger contre tous types de menaces, le cadre mis en place par le NIST constitue une bonne référence. Il s’avère extrêmement simple. Mais, pour appliquer ce type de cadre dans votre entreprise, vous pouvez toujours demander de l’aide à un analyste spécialisé. Vous devez évaluer les risques auxquels votre entreprise est exposée aujourd’hui et appliquer ce cadre chaque année pour vous assurer que la sécurité est toujours de rigueur dans votre entreprise.
Le cadre de référence est un outil qui permet de prendre les décisions les plus adaptées. Mais, si de nouveaux problèmes de sécurité surviennent, il sera nécessaire d’effectuer une nouvelle évaluation des risques. En revanche, si vous atteignez vos objectifs initiaux, vous devrez fixer de nouveaux objectifs.
Dans tous les cas, il est conseillé de réunir votre personnel informatique afin de parler de la mise en œuvre des changements appropriés et, si besoin, d’opter pour des cadres spécifiques mieux adaptés à la situation.
Existe-t-il d’autres cadres ?
Bien sûr ! En voici quelques-uns :
Si votre entreprise est un e-commerce traditionnel qui publie des informations à l’attention des clients, vous pouvez utiliser le cadre NIST sans problème. Vous pouvez choisir l’ISO 27000 si vous avez une présence internationale. Si votre entreprise travaille dans une industrie de niche, d’autres cadres pour ces types spécifiques d’activités peuvent parfaitement s’adapter.
La PCI DSS
On utilise la norme pour garantir la sécurité des données de l’industrie des cartes de paiement quand la vente de produits en ligne est l’activité principale d’une entreprise. Si vous disposez d’un grand catalogue en ligne, ces normes participent à la protection de certains types de données que l’entreprise en question collecte. La PCI DSS aide à :
- Administrer un réseau sûr ;
- Protéger les données de la carte ;
- Examiner la vulnérabilité ;
- Adopter des mesures de contrôle d’accès pour éviter les attaques de piraterie ;
- Mettre à l’épreuve les réseaux de sécurité ;
- Élaborer une politique de sécurité.
La publication spéciale du NIST 800-53
Si votre entreprise travaille avec des données gouvernementales ou a passé un contrat avec le gouvernement des États-Unis, vous devriez utiliser ce cadre de sécurité, un peu plus strict, avec des mises à jour plus fréquentes.
Le cadre de principes et services fiduciaires de l’AICPA
Ce cadre est utilisé pour les données non commerciales aux États-Unis. Il protège la propriété intellectuelle et d’autres données générées par l’entreprise tous les jours. Ce cadre est utile excepté dans l’e-commerce. Ce cadre peut être utilisé pour protéger des projets qui n’ont pas encore été financés ou des avant-projets. En définitive, il est utile quand vous voulez éviter de vous faire voler une idée et donc un contrat.
COBIT
C’est un guide des meilleures pratiques destiné au contrôle et à la supervision des technologies de l’information. Il est utilisé, en règle générale, quand il existe certaines régulations impliquant un suivi obligatoire dû à la nature de l’activité. COBIT aide les entreprises de toutes dimensions à :
- Optimiser le coût de la technologie ;
- Respecter la règlementation, les accords contractuels et les politiques ;
- Gérer les nouvelles technologies de l’information.
En conclusion, si vous recherchez un cadre de sécurité pour votre entreprise, examinez les options précédentes avant de prendre une décision. Quelle que soit cette dernière, elle ne doit pas vous empêcher de former l’équipe informatique, notamment si vous avez opté pour un cadre spécifique. Dans ce cas, il est possible d’engager un consultant qui vous indiquera ce que votre entreprise doit faire ou quelles normes gouvernementales régissent votre administration en ligne. Si vous stockez des données de clients en ligne, conservez des données pour des projets futurs ou administrez des plates-formes en ligne qui pourraient être piratées à n’importe quel moment, le cadre de sécurité constitue la seule garantie en matière de sécurité.