EUROEDITION LG171
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
François Barret<br />
une échelle de trois niveaux, «Activate»,<br />
«Adapt», «Anticipate». «Activate» couvre<br />
les fondamentaux, à savoir la gestion des<br />
incidents, les contrôles techniques, la configuration<br />
des droits d’accès aux données<br />
selon les profils métier (IAM), et, enfin, la<br />
création d’un centre de gestion de la sécurité<br />
(SOC). Les sociétés à ce stade considèrent<br />
toujours la sécurité comme un coût et<br />
non comme un avantage concurrentiel.<br />
Le niveau «Adapt» témoigne en revanche<br />
déjà de la volonté de se tourner vers une<br />
approche plus dynamique de la sécurité,<br />
c’est-à-dire vers l’intégration de la sécurité<br />
à son environnement, qui, comme on le<br />
sait, évolue en permanence.<br />
Pour atteindrele dernier niveau, «Anticipate»,<br />
une société doit être en mesure de répondre<br />
àcinq questions essentielles concernant<br />
sa sécurité : «En tant que société, est ce<br />
que je sais où se trouvent mes bijoux de<br />
famille?», «En quoi sont-ils vulnérables par<br />
le biais de mes processus métier?»,<br />
«Comment peut-on les rendre inaccessibles<br />
sans mon autorisation?», «Serai-je au courant<br />
des attaques perpétrées à mon encontre?»,<br />
«Est-ce que je me suis préparé à<br />
répondre aux attaques et à en réduire les<br />
impacts?». Il convient en outre d’organiser<br />
une veille sécurité, qui passe par la collaboration<br />
avec son environnement (par exemple<br />
autres sociétés, CSIRT, etc.), et de mettre<br />
au point des scénarios de défense adéquats.<br />
Pour autant, la sécurité informatique a<br />
un coût substantiel, et nombre d’entreprises<br />
ne disposent pas de moyens<br />
financiers ou humains suffisants pour<br />
parer les cyberattaques potentielles.<br />
Comment dès lors faire face à cellesci?<br />
Certes, la sécurité a un coût. Il n’empêche<br />
qu’il faut prévoir des scénarios pour réagir au<br />
mieux aux attaques, et ce, en fonction des<br />
moyens humains et financiers que l’on a à sa<br />
disposition, et de la sensibilité des données<br />
que l’on a à traiter.<br />
Par expérience, nous constatons que les<br />
menaces proviennent aussi de l’intérieur de<br />
l’entreprise et ne sont que la conséquence de<br />
négligences facilement évitables. Il s’agit dès<br />
lors de mettre en place une gouvernance,<br />
des contrôles techniques et des actions de<br />
formation qui sont autant de mesures à la<br />
portée de tous.<br />
Les entreprises doivent apprendre àconsidérer<br />
la sécurité comme un facteur de différenciation,<br />
qui peut leur apporter un avantage<br />
concurrentiel, et cesser de ne raisonner qu’en<br />
termes de coût.<br />
EY Luxembourg<br />
7, rue Gabriel Lippmann<br />
Parc d’activités Syrdall 2<br />
L-5365 Munsbach<br />
Tél.: 42 124-1<br />
www.ey.com<br />
LG - Décembre 2014<br />
25